Esiste una vulnerabilità nel pannello di amministrazione gratuito del server Froxlor che potrebbe consentire a un utente malintenzionato di prendere il controllo del server. Gli utenti esperti di JavaScript possono inserire i propri script nella funzione di visualizzazione per i tentativi di accesso falliti, che vengono poi eseguiti dal browser dell'amministratore del server. Poiché uno sviluppatore è stato in grado di ricreare, in questo modo è possibile creare anche account amministratore falsi.
annuncio
Sulla base di questi potenziali impatti, il team di Froxlor stima il divario a Molto importante , assegna un punteggio CVSS di 9,7 e gli è stato assegnato l'ID CVE CVE-2024-34070. Colpisce tutte le versioni di Froxlor precedenti alla 2.1.9; Il problema è stato risolto in questa versione.
Anche i pacchetti Debian e Ubuntu forniti dal team Froxlor nel proprio repository sono già aggiornati. Gli amministratori che utilizzano Froxlor dovrebbero applicare rapidamente le patch per evitare di esporsi a rischi inutili.
XSS trotz Anti-XSS
In uno Avviso di sicurezza su GitHub Gli sviluppatori commentano in dettaglio l'errore e come si verifica: Froxlor utilizza “Anti-XSS” Una libreria esterna per filtrare l'input dell'utente, ma questo problema può essere superato utilizzando un blocco JavaScript generato appositamente.
Froxlor viene utilizzato per una comoda gestione web dei server Linux e dispone di funzioni che gli host web o le piccole agenzie possono utilizzare per affittare account di hosting. Il software è un fork dell'ormai defunto progetto SysCP ed è visto come un'alternativa gratuita a soluzioni commerciali come Plesk. Quasi 10 anni fa, Froxlor ha riscontrato la sua ultima grave vulnerabilità: gli aggressori erano in grado di leggere le password dei database da remoto.
(Kaku)