أخبار الثغرات

ثغرة XSS في مدير ملفات لوحة تحكم Cpanel

تم أرشفة هذا المحتوى


تستخدم لوحة تحكم Cpanel بشكل كبير في شركات الاستضافة لكي توفر للمستخدمين تحكم سهل وشامل بمواقعهم وتعتبر Cpanel اللوحة الأكثر شهرة في هذا المجال, تم بتاريخ اليوم اكتشاف ثغرة من نوع XSS بالاصدار 11.24.4-CURRENT في مدير الملفات الخاص بها تمكن المهاجم من تشغيل أكواد Javascript, وببرمجة الاستغلال بطريقة معينة قد تسمح بتغيير كلمة مرور احداى الايميلات الموجودة في لوحة التحكم.

 

Cpanel Logoتحتوي لوحة Cpanel على مدير ملفات File Manager  ومدير ملفات آخر يدعى Legaly FileManager ولقد تمكن المكتشف من استغلال الثغرة بنجاح على الاثنين لكن يعتبر LFM أكثر اصابة من File Manager وذلك لعدم فلترة أسماء المجلدات/الملفات قبل عرضها وبمجرد استعراض اسم الملف/المجلد الذي يحتوي على كود Javascript سيتم تشغيل الاستغلال وارسال طلب من نوع POST باستخدام تقنية AJAX يقوم بتغيير كلمة مرور الايميل الموجود في لوحة التحكم! بينما في مدير الملفات الافتراضي File Manager يتم فلترة أسماء الملفات والمجلدات قبل عرضها لكن بمجرد محاولة نقلها, حذفها, نسخها, اعادة تسميتها, تغيير تصريحها, تعديلها, ضغطها أو فك ضغطها سيتم تشغيل كود الاستغلال.

 

مكتشف الثغرة: Rizki Wicaksono
المصدر الأساسي باللغة الأندونيسية يشرح الثغرة واستغلالها بالتفصيل
CPANEL File Manager XSS باللغة الانكليزية من موقع SecLists

‫5 تعليقات

  1. في الحقيقة الـ cPanel لاخوف عليها من هذه الاشياء, لئن خلال ساعة إلى خمس ساعات بالكثير تلاحظ أن ظهر لك تحديثات في WHM كترقيع او خلافة .. وأيضاً لو تلاحظ أن التحديثات مستمرة بشكل يومي أو بين يوم و أخر .. وهذا ما يميز cPanel عن غيرها!..

  2. كلامك صحيح أخ مصطفى لكن المشكلة ليست في Cpanel بل في شركات الاستضافة ومدراء السيرفرات الذين لا يهتمون بالتحديث والترقيعات الأمنية..!

  3. اخي العزيز نشكرك على موضيع القيمه اخي عندي كم سوال ان شالله تردون عليه ممكن تضعون طريقة اختراق نظام pppoe بروباند لشبكات لان هذا الحماية قوي ارجوا من منكم كخبراء تضعوا لنا حيل وابسرع وقت تحياتي

  4. pppoe
    عاوزها ليه يا ابني مالك ريح رأسك
    وسيب الناس في حلها

    ما تروح تشوف عمنا قوقل سيد المهكرين وزعيمهم حتصل عنده
    كل حاجه

    ابن الصغو

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى