Whmcs 5.28 Com Outra Falha De Segurança? Já?

[Visitante]

Complicado, ontem me mandaram até os admins de meu WHMCS (Encriptado), mas por sorte fiz o upgrade em menos de 5min.. Alguém sabe me dizer se a release 5.2.9 (saiu ontem a noite) resolve o problema?

[edvan]

Complicado, ontem me mandaram até os admins de meu WHMCS (Encriptado), mas por sorte fiz o upgrade em menos de 5min.. Alguém sabe me dizer se a release 5.2.9 (saiu ontem a noite) resolve o problema?

 

Erick,

 

Se sua pasta admin estiver renomeada conforme sugestão de segurança http://docs.whmcs.com/Further_Security_Steps#Change_your_WHMCS_Admin_Folder_Name as chances são quase zero ( exceto se você divulgar ) e se o WHMCS estiver restrito por IP http://docs.whmcs.com/Further_Security_Steps#Restrict_Access_by_IP são praticamente 0%.

 

A falha corrigida é similar a ocorrida em 03/10 ( na verdade ouvi dizer que a WHMCS.com não corrigiu 100% e por isso o problema voltou a ocorrer ), além disso foi corrigido um bug/falha na ferramenta de emails em massa aonde havia um campo oculto que mostrava uma consulta SQL conforme exemplo:

 

 

 

<input type="hidden" name="massmailquery" value="SELECT id,id AS userid,tblclients.firstname,tblclients.lastname,tblclients.email FROM tblclients WHERE id!='' AND tblclients.status IN ('Active','Inactive','Closed') AND tblclients.language IN ('')">

[Visitante]

Erick,

 

Se sua pasta admin estiver renomeada conforme sugestão de segurança http://docs.whmcs.com/Further_Security_Steps#Change_your_WHMCS_Admin_Folder_Name as chances são quase zero ( exceto se você divulgar ) e se o WHMCS estiver restrito por IP http://docs.whmcs.com/Further_Security_Steps#Restrict_Access_by_IP são praticamente 0%.

 

A falha corrigida é similar a ocorrida em 03/10 ( na verdade ouvi dizer que a WHMCS.com não corrigiu 100% e por isso o problema voltou a ocorrer ), além disso foi corrigido um bug/falha na ferramenta de emails em massa aonde havia um campo oculto que mostrava uma consulta SQL conforme exemplo:

 

 

A Pasta de administrador é outra, a mesma não está com o nome padrão de Admin, e o acesso da mesma é restrito por .htaccess

 

A minha dúvida é, a falha do 5.2.7 e 5.2.8 não estão na pasta do admin, e sim na includes/dbfunctions.php

 

http://localhost.re/p/whmcs-528-vulnerability

[edvan]

A Pasta de administrador é outra, a mesma não está com o nome padrão de Admin, e o acesso da mesma é restrito por .htaccess

 

A minha dúvida é, a falha do 5.2.7 e 5.2.8 não estão na pasta do admin, e sim na includes/dbfunctions.php

 

http://localhost.re/p/whmcs-528-vulnerability

 

Foi corrigida ontem mesmo por volta das 22:30h - 23h ( horário de brasília ) http://blog.whmcs.com/?t=80223

[Visitante]

Foi corrigida ontem mesmo por volta das 22:30h - 23h ( horário de brasília ) http://blog.whmcs.com/?t=80223

 

Sim, eu vi. Porém, eu fiz o upgrade para a última versão (5.2.9 estável), devo instalar o v529 incremental?

[Fernando Rafs]

Sim, eu vi. Porém, eu fiz o upgrade para a última versão (5.2.9 estável), devo instalar o v529 incremental?

 

Não, a 5.2.9 Incremental é apenas para quem possui a versão 5.2.8.

 

Se já efetuou o upgrade utilizando o pacote Full 5.2.9, não é necessário mais nada.

[dubdub]

não acredito, jááááááá

 

mas acabei de colocar o 5.2.8, no mínimo piada

[Fernando Rafs]

E vamos nós outra vez!

 

 

WHMCS has released new patches for the 5.2 and 5.1 minor releases. These updates

provide targeted changes to address security concerns with the WHMCS product.

You are highly encouraged to update immediately.

 

WHMCS has rated these updates as having critical security impacts. Information

on security ratings is available at http://docs.whmcs.com/Security_Levels

 

== Releases ==

 

The following patch release versions of WHMCS have been published to address a

specific SQL Injection vulnerability:

v5.2.10

v5.1.12

 

== Security Issue Information ==

 

These changes resolve security issues identified by public disclosure.  The

follow security issues have been addressed within the latest patches:

  - Missing Cross Site Request Forgery Token checks for certain operations

related to Product Bundles and Product Configuration

  - SQL Injection viable due to improper validation of expected numeric data

  - Enforce privilege boundaries for particular ticket actions

 

== Important Fix Information ==

These changes also include important functional fixes that were produced from

previous security patches:

  - SQL error in getting ticket departments (5.1 only)

  - Mass mail client filter excluding users set to default language

  - Admin clients list displaying multiple instances of the same record in

certain conditions

  - Prevent user input from manipulating IP Ban logic (5.2 only)

 

 

== Mitigation ==

 

=== WHMCS Version 5.2 ===

 

Download and apply the appropriate patch files to protect against these

vulnerabilities.

 

Patch files for affected versions of the 5.2 series are located on the WHMCS

site as itemized below.

 

v5.2.10 (full version) - Downloadable from the WHMCS Members Area

v5.2.10 (patch only; for 5.2.9 ) -

http://go.whmcs.com/242/5210_incremental'>http://go.whmcs.com/242/5210_incremental

 

To apply a patch, download the files indicated above and replace the files

within your installation.

No upgrade process is required.

 

=== WHMCS Version 5.1 ===

 

Download and apply the appropriate patch files to protect against these

vulnerabilities.

 

Patch files for affected versions of the 5.1 series are located on the WHMCS

site as itemized below.

 

v5.1.12 (patch only; for 5.1.11) -

http://go.whmcs.com/246/5112_incremental'>http://go.whmcs.com/246/5112_incremental

 

To apply a patch, download the files indicated above and replace the files

within your installation.

No upgrade process is required.

[Jonas F]

Fiz os upgrades incrementais, do 5.2.8 para o 9 e depois para o 10 e ocorreu algo estranho agora pela manhã, foi realizado um pedido, não foi enviado o e-mail para mim referente ao pedido e o não foi enviado para o cliente o e-mail referente a configuração automática do serviço (que foi realizada).

[chuvadenovembro]

Fiz os upgrades incrementais, do 5.2.8 para o 9 e depois para o 10 e ocorreu algo estranho agora pela manhã, foi realizado um pedido, não foi enviado o e-mail para mim referente ao pedido e o não foi enviado para o cliente o e-mail referente a configuração automática do serviço (que foi realizada).

 

Aqui não ocorreu esse problema não

 

Testei em dois whmcs e tanto o email de novo pedido quanto o que é enviado ao cliente com informações da conta estão sendo enviados normalmente.

 

Com relação ao whmcs.com devem estar passando por um verdadeiro drama com esse numero de correções que precisam ser feitos rapidamente, isso realmente já está com cara de sabotagem...