VestaCP Üzerinde CSRF Zafiyeti Tespit Edildi

Ücretsiz hosting panel yazılımı olan VestaCP üzerinde CSRF (Siteler Arası İstek Sahteciliği) zafiyeti tespit edilmiştir.

Güvenlik zafiyeti (CVE-2021-28379) /upload/index.php bileşenini etkilemektedir. Söz konusu panel yazılımının yükleme işlevi (/upload/index.php) tarafından gerçekleştirilen kontrollerin yetersiz olduğu, yükleme işlevinin CSRF güvenlik zafiyetine karşı savunmasız olduğu, ayrıca /tmp ve /home/admin dizinleri altında dosya yüklemeye ve klasör oluşturmaya izin verdiği tespit edilmiştir. Bu zafiyetler /home/admin dizini altında bir .ssh klasörü oluşturmak ve sunucuya daha sonra SSH kullanarak admin yetkileri ile erişim sağlanmasına izin veren authorized_keys dosyasını yüklemek için kullanılmıştır. Ardından ssh –i betiği kullanarak sunucuya bağlanmak için özel anahtarı kullanılmış ve yönetici olarak bağlantı kurulmuştur.

CSRF zafiyetinden yararlanabilmek için yöneticinin bir bağlantıyı ziyaret etmesi gerektiğinden varsayılan kurulum dosyasını kullanırken sshd’ nin VestaCP tarafından yüklendiği ve bu nedenle yüklemeye gerek olmadığı unutulmamalıdır. Söz konusu zafiyetten VestaCP 0.9.8 sürümü etkilenmektedir. VestaCP üzerindeki zafiyeti gideren bir güncelleme yayımlanmıştır. Savunmasız sürümü kullanan kullanıcıların en kısa sürede güncellemeyi uygulamaları önerilmektedir.

Size nasıl yardımcı olalım?

İhtiyacınız olan her an Prisma danışmanları yanı başınızda. Bizimle 7/24 iletişime geçebilirsiniz.


    Brandefense ile siber saldırılara karşı önlem alın!