Nova Falha de Segurança

4

A equipe da  WHMCS.com divulgou hoje no blog oficial uma notificação de ameaça a segurança do WHMCS (não precisa pânico), para que o sistema fique comprometido o atacante precisa ter acesso a uma sessão válida em seu “admin”  WHMCS… ou seja ele precisa saber a localização da sua pasta admin, usuário e senha válidos.  

Essa dica é básica, se após você ter instalado o WHMCS você seguiu as recomendações propostas pela WHMCS.com dificilmente terá problemas deste tipo. Além do que alterar pasta administrativa, proteger o diretório administrativo com uma senha, modificar a localização das pastas do sistema e restringir o acesso por IP ao admin WHMCS  são procedimentos simples de executar e não leva 2 minutos para fazer.

No comunicado a WHMCS.com informou que já identificou/corrigiu a vulnerabilidade e que na próxima semana será disponibilizada uma nova versão juntamente com outras melhorias encontradas na auditoria interna conforme publicamos aqui.

Daí você pode parar pra pensar… não seria uma atitude irresponsável não efetuar a correção de imediato e disponibilizar para todos? Creio que não, mas foi disponibilizado para download um hook neste link que irá anular possíveis ataques deste tipo. Após efetuar o download do arquivo CookieOverrideHook.zip descompacte e envie o arquivo CookieOverrideHook.php para pasta /seu_whmcs/includes/hooks/

Confira na integra o comunicado traduzido pelo google translator:

Notificação de Ameaças à Segurança

Estamos cientes de um post que está circulando no qual o autor propõe uma exploração através de uma variável cookie. No entanto, a vulnerabilidade proposta só é possível se o atacante ganhou acesso a uma sessão de login de administrador válida já por outros meios. Por esta razão , sentimos que a viabilidade da vulnerabilidade não é imediato , nem é um risco importante para as instalações .

Podemos confirmar este vetor vulnerabilidade existe como já identificados e resolvidos em nossa em andamento auditoria de segurança interna. Temos , de facto, também preparou um refinamento para o código que vai negar o vetor de ataque proposto e prevemos a publicação de uma nova versão do software na próxima semana, que vai incluir essa mudança , juntamente com outros encontrados durante a nossa auditoria interna.

Entretanto, porém , você pode baixar o arquivo gancho abaixo e enviá-lo para o diretório / includes / hooks / pasta de instalação do WHMCS para anular quaisquer possíveis ataques baseados nesta – embora , por favor , note que este também irá impedir lista administrador ordenação de trabalho totalmente em determinados lugares.

Gostou? Comente!

4 COMENTÁRIOS

    • Em geral essas falhas de segurança não compromete o template. Clientexec, hostbill, blesta e afins sofrem do mesmo problema ( só não estão evidenciados ).

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here