Resultados 1 a 8 de 8
  1. #1
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Posts
    1,608

    Whmcs e nova ameaça 03/11

    Segue abaixo

    We are aware of a post that is circulating in which the author proposes an exploit via a cookie variable. However the proposed vulnerability is only possible if the attacker has gained access to a valid admin login session already through other means. For this reason, we feel that the viability of the vulnerability is not immediate nor is of a critical risk to installations.

    We can confirm this vulnerability vector does exist as we have already identified and resolved it in our currently in progress internal security audit. We have in fact also prepared a refinement to the code that will negate the proposed attack vector and we anticipate publishing a new release of the software next week that will include this change along with others found during our internal audit.

    In the meantime however, you may download the hook file below and upload it to the /includes/hooks/ folder of your WHMCS installation to negate any potential attacks based on this - although please note this will also prevent admin list ordering from working fully in certain places.

    Cookie Override Hook - http://go.whmcs.com/262/cookie_override_hook
    oGigante.com*• Revenda de Hospedagem Cloud Linux + WHMCS Grátis
    VWhost.com.br • Revenda de Hospedagem Linux Cpanel + CloudFlare
    Zocka.com.br • Hospedagem de Sites Cpanel + Construtor de Sites

  2. #2
    Guru Junior
    Data de Ingresso
    Nov 2010
    Posts
    237
    Parece que isso não vai acabar nunca

  3. #3
    {topmember}
    Data de Ingresso
    Nov 2010
    Localização
    Rio de Janeiro
    Posts
    596
    Sugestão: mude o nome de seu diretório admin padrão do WHMCS e proteja ele com senha.
    _________________________
    Alexandre Duran
    MegaHost ISP - Meganick IDC - DigitalSSL
    [B]Hospedagem de Sites - Servidores Dedicados

  4. #4
    Web Hosting Master
    Data de Ingresso
    Aug 2011
    Localização
    /home
    Posts
    896
    Citação Postado originalmente por DuranDuran Ver Post
    Sugestão: mude o nome de seu diretório admin padrão do WHMCS e proteja ele com senha.
    Como o cron (whmcs/admin/cron.php) vai rodar, se o diretório está com senha?

  5. #5
    Guru Junior
    Data de Ingresso
    Nov 2010
    Posts
    237
    Citação Postado originalmente por marcosv Ver Post
    Como o cron (whmcs/admin/cron.php) vai rodar, se o diretório está com senha?
    A senha é apenas para acesso HTTP(S), o cron vai executar normalmente.

  6. #6
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Posts
    1,608
    Citação Postado originalmente por marcosv Ver Post
    Como o cron (whmcs/admin/cron.php) vai rodar, se o diretório está com senha?
    Eu uso senha na pasta admin a vários meses e nunca tive problemas com o cron.

    Acredito que deve dar problema se a chamada do cron for via GET
    oGigante.com*• Revenda de Hospedagem Cloud Linux + WHMCS Grátis
    VWhost.com.br • Revenda de Hospedagem Linux Cpanel + CloudFlare
    Zocka.com.br • Hospedagem de Sites Cpanel + Construtor de Sites

  7. #7
    Guru Junior
    Data de Ingresso
    Nov 2010
    Posts
    237
    Citação Postado originalmente por chuvadenovembro Ver Post
    Eu uso senha na pasta admin a vários meses e nunca tive problemas com o cron.

    Acredito que deve dar problema se a chamada do cron for via GET
    Correto, só via GET vai dar problema. Mas usando php -q /caminho/do/arquivo roda sem problemas.

  8. #8
    Web Hosting Master
    Data de Ingresso
    Aug 2011
    Localização
    /home
    Posts
    896
    Citação Postado originalmente por alvaro Ver Post
    Correto, só via GET vai dar problema. Mas usando php -q /caminho/do/arquivo roda sem problemas.
    Obrigado.
    Então era este o problema.

Permissões de Postagem

  • Você não pode iniciar novos tópicos
  • Você não pode enviar respostas
  • Você não pode enviar anexos
  • Você não pode editar suas mensagens
  •