В одной из самых популярных панелей для управления хостингом zPanel была обнаружена уязвимость, которая позволяет пользователю, у которого есть доступ к интерфейсу, получить полный контроль над сервером.
Брешь скрывается в модуле ZPX HTPASSWD в последней версии zPanel 10.0.2. И в настоящий момент проблема до сих не устранена.
Разработчики обещают выпустить патч сразу после завершения его тестирования. А пока советуют пользователям zPanel просто отключить уязвимый модуль.
Уязвимость позволяет получить доступ к серверам
Около месяца назад об аналогичной уязвимости пользователи zPanel уже предупреждали разработчиков, однако последние пренебрежительно отнеслись к критическим замечаниям. Более того, они в неуважительной форме отозвались об энтузиастах, пытающихся привлечь их внимание к проблеме.
Чтобы показать администрации zPanel всю серьёзность ситуации, пользователи-активисты взломали ряд служебных учётных записей и разослали провокационное сообщение от имени руководства службы техподдержки о закрытии проекта. Только после этого проблема безопасности в системе была устранена.