Risque

Injection de code indirecte (cross-site scripting).

Systèmes affectés

cPanel, versions 5.x à 11.x.

Résumé

Une vulnérabilité du logiciel cPanel permet à utilisateur malveillant de réaliser de l'injection de code indirecte.

Description

Le logiciel cPanel permet d'administrer des applications à distance.

La page dohtaccess.html reçoit un paramètre rurl dont le contenu n'est pas suffisament filtré. Cette vulnérabilité permet à utilisateur malveillant de réaliser de l'injection de code indirecte.

Solution

Utiliser la version 11.17 build 19417 ou plus.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation