Pannello di amministrazione gratuito: contrabbando di codice tramite scripting cross-site in Froxlor

Esiste una vulnerabilità nel pannello di amministrazione gratuito del server Froxlor che potrebbe consentire a un utente malintenzionato di prendere il controllo del server. Gli utenti esperti di JavaScript possono inserire i propri script nella funzione di visualizzazione per i tentativi di accesso falliti, che vengono poi eseguiti dal browser dell'amministratore del server. Poiché uno sviluppatore è stato in grado di ricreare, in questo modo è possibile creare anche account amministratore falsi.

annuncio

Sulla base di questi potenziali impatti, il team di Froxlor stima il divario a Molto importante , assegna un punteggio CVSS di 9,7 e gli è stato assegnato l'ID CVE CVE-2024-34070. Colpisce tutte le versioni di Froxlor precedenti alla 2.1.9; Il problema è stato risolto in questa versione.

Anche i pacchetti Debian e Ubuntu forniti dal team Froxlor nel proprio repository sono già aggiornati. Gli amministratori che utilizzano Froxlor dovrebbero applicare rapidamente le patch per evitare di esporsi a rischi inutili.

In uno Avviso di sicurezza su GitHub Gli sviluppatori commentano in dettaglio l'errore e come si verifica: Froxlor utilizza “Anti-XSS” Una libreria esterna per filtrare l'input dell'utente, ma questo problema può essere superato utilizzando un blocco JavaScript generato appositamente.

Froxlor viene utilizzato per una comoda gestione web dei server Linux e dispone di funzioni che gli host web o le piccole agenzie possono utilizzare per affittare account di hosting. Il software è un fork dell'ormai defunto progetto SysCP ed è visto come un'alternativa gratuita a soluzioni commerciali come Plesk. Quasi 10 anni fa, Froxlor ha riscontrato la sua ultima grave vulnerabilità: gli aggressori erano in grado di leggere le password dei database da remoto.

READ  Skyline 2 supera il numero di giocatori del suo predecessore in 30 minuti


(Kaku)

Alla home page

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Torna in alto