XSS su WHMCS 7.5 e precedenti

WHMCS(tm) logo

WHMCS è una piattaforma per l’automazione dei servizi di hosting usata da oltre 40.000 aziende, a loro volta fornitrici di servizi web ad aziende e privati.

Oggi è stato emesso un security warning per le versioni 7.5 e precedenti, che segnala fra le altre vulnerabilità anche un XSS sulla pagina di amministrazione.

The issues resolved include:
– Project permissions within the Project Management addon
– Potential XSS on admin homepage
– Improper client password reset logic
– Improper admin access to remote servers via WHMCS Connect

 

Per maggiori informazioni fare riferimento all’advisory sul blog di WHMCS, che contiene anche il link alle patch.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society, membro dell'Associazione Italiana esperti in Infrastrutture Critiche (AIIC) e della Association for the Advancement of Artificial Intelligence (AAAI). Dal 2006 lavoro per ESET, dove ricopro il ruolo di Operations Manager. Il blog è personale.