В открытой панели управления хостингом zPanel выявлена критическая уязвимость, позволяющая любому пользователю, имеющему доступ к интерфейсу панели управления (в том числе клиентам и реселлерам), выполнить произвольные команды на сервере с правами пользователя root, сообщает opennet.ru. Ошибка вызвана сочетанием отсутствия должных проверок входящих значений с наличием средств для выполнения произвольных операций с правами пользователя root. В частности, пользователь может поменять пароль root указав вместо имени пользователя команду на смену пароля пользователя, а затем включить возможность входа пользователем root по ssh. Проблема пока остаётся неисправленной и присутствует в последнем стабильном выпуске zPanel 10.0.0.2.
Источник