В ZPanel выявлена критическая уязвимость, позволяющая хакерам сбросить пароль и получить доступ к серверу. 

Как следует из сообщения на форуме ZPanel, вышеупомянутая уязвимость содержится и в последней версии ZPanel 10.0.2. Автор сообщения также описал схему использования уязвимости.

Фактически уязвимость содержится в модуле ZPX HTPASSWD - модуль не в состоянии сканировать ввод данных пользователем. Таким образом, используя эту уязвимость, любой пользователь, имеющий доступ к странице (администратор, торговый посредник, клиент) может установить на сервер панель для ввода произвольных команд.

Наличие уязвимости подтвердили и разработчики ZPanel. Пользователям ZPanel советуют отключить модуль HTPASSWD.

Команда разработчиков в настоящее время проводит тестирование патча для GitHub. Рабочий патч будет выпущен по окончанию тестирования.