В ZPanel выявлена критическая уязвимость, позволяющая хакерам сбросить пароль и получить доступ к серверу.
Как следует из сообщения на форуме ZPanel, вышеупомянутая уязвимость содержится и в последней версии ZPanel 10.0.2. Автор сообщения также описал схему использования уязвимости.
Фактически уязвимость содержится в модуле ZPX HTPASSWD - модуль не в состоянии сканировать ввод данных пользователем. Таким образом, используя эту уязвимость, любой пользователь, имеющий доступ к странице (администратор, торговый посредник, клиент) может установить на сервер панель для ввода произвольных команд.
Наличие уязвимости подтвердили и разработчики ZPanel. Пользователям ZPanel советуют отключить модуль HTPASSWD.
Команда разработчиков в настоящее время проводит тестирование патча для GitHub. Рабочий патч будет выпущен по окончанию тестирования.
