cPanel 和 WHM 软件中存在双因素身份验证绕过漏洞

cPanel是管理web托管的流行管理工具的提供商，它修补了一个安全漏洞，该漏洞可能允许远程攻击者访问有效凭据，绕过帐户的两因素身份验证（2FA）保护。

该问题被称为“seco -575”，由Digital Defense研究人员发现，该公司在软件的11.92.0.2、11.90.0.17和11.86.0.32版本中对其进行了修复。

cPanel和WHM（Web主机管理器）提供了一个基于Linux的控制面板，供用户处理网站和服务器管理，包括添加子域、执行系统和控制面板维护等任务。到目前为止，使用cPanel的软件套件在服务器上启动了超过7000万个域。

该问题源于在登录期间2FA缺乏速率限制，从而使得攻击者能够使用暴力方法反复提交2FA代码并绕过身份验证检查。

Digital Defense研究人员表示，这种攻击可以在几分钟内完成。

“双因素身份验证cPanel安全策略没有阻止攻击者重复提交双因素身份验证代码，”cPanel表示，“这使得攻击者能够使用暴力技术绕过双因素身份验证检查。”

为了解决这个问题，该公司在cPHulk蛮力保护服务中加入了速率限制检查，如果2FA代码验证失败，就会被视为登录失败。

通过发布以下内部版本解决了此问题：
11.92.0.2
11.90.0.17
11.86.0.32

__EOF__

本文作者：komomon
本文链接：https://www.cnblogs.com/forforever/p/14059842.html
关于博主：喜欢读书、旅行、爬山。评论和私信会在第一时间回复。或者直接私信我。
版权声明：本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！
声援博主：如果您觉得文章对您有帮助，可以点击文章右下角【推荐】一下。您的鼓励是博主的最大动力！