在 Web 托管软件 cPanel 中发现 2FA 旁路

来自Digital Defense的安全研究人员发现了托管软件 cPanel中的一个安全问题。黑客可以利用此漏洞绕过帐户身份验证（2FA）并管理关联网站。

“漏洞和威胁管理解决方案的领导者宣布，其 漏洞研究团队（VRT） 发现了一个未披露的漏洞，该漏洞影响了cPanel＆WebHost Manager（WHM）网络托管平台。” “ c_Panel＆WHM版本11.90.0.5（90.0 Build 5）具有两因素身份验证绕过漏洞，易受到攻击，从而导致了解或访问有效凭据的黑客可以绕过两因素身份验证。”

该漏洞可能会产生巨大影响，因为Web托管提供商当前正在使用该软件套件来管理全球超过7,000万个域。

“双重身份验证cPanel安全策略并未阻止攻击者重复提交双重身份验证代码。这使黑客可以使用技术绕过两因素身份验证检查。” “现在，将两因素身份验证代码验证失败的情况等同于帐户的主密码验证失败以及cPHulk限制的速率。”

研究人员补充说，攻击者可以在几分钟内绕过2FA。通过发布以下内部版本解决了此问题：

• 11.92.0.2（ZoomEyes搜索结果）
• 11.90.0.17（ZoomEyes搜索结果）
• 11.86.0.32（ZoomEyes搜索结果）

网站管理员敦促检查其托管服务提供商是否已更新相关cPanel版本。

消息来源：securityaffairs ；封面来自网络；译者：小江。

本文由 HackerNews.cc 翻译整理。

转载请注明“转自 HackerNews.cc ”