Ir para conteúdo
  • Cadastre-se

Atenção! Falha de segurança no WHMCS

eloimarquessilva
 Compartilhar

Posts Recomendados

McGuyver

McGuyver

Postado
Postado
Espero que a versão 5 acima ainda esteja longe de ter esse problema.

Desde que você aplique o patch e atualize para a 5.0.3.

Importante notar que o ataque só tem sucesso se você clicar no ticket dentro do WHMCS. Se você viu através de e-mail ou da listagem dos tickets esse código basta selecionar o ticket na caixa de seleção e excluir, ou seja, basta tomar as mesmas precauções que você toma ao receber um e-mail estranho com códigos, anexos executáveis, etc...

Vale mais o bom senso!

Link para o comentário
Compartilhar em outros sites
eloimarquessilva

eloimarquessilva

Postado
  • Autor
Postado
Desde que você aplique o patch e atualize para a 5.0.3.

Importante notar que o ataque só tem sucesso se você clicar no ticket dentro do WHMCS. Se você viu através de e-mail ou da listagem dos tickets esse código basta selecionar o ticket na caixa de seleção e excluir, ou seja, basta tomar as mesmas precauções que você toma ao receber um e-mail estranho com códigos, anexos executáveis, etc...

Vale mais o bom senso!

Legal a dica... mas infelizmente, com relação a este problema em especifico, essa dica não funciona.

No horario da infecção do meu WHMCS (pela data e hora da criação dos arquivos) não havia ninguem logado no WHMCS portanto a falha explorada funciona tanto com o e-mail quanto com o WHMCS propriamente dito. Isso porque a falha explora um recurso da Smarty (biblioteca muito popular para gerenciamento de templates em PHP) e a Smarty é usada também nas templates de e-mail. Ou seja a falha existe nas duas formas e-mail e sistema.

Link para o comentário
Compartilhar em outros sites
hostbr

hostbr

Postado
Postado
Desde que você aplique o patch e atualize para a 5.0.3.

Importante notar que o ataque só tem sucesso se você clicar no ticket dentro do WHMCS. Se você viu através de e-mail ou da listagem dos tickets esse código basta selecionar o ticket na caixa de seleção e excluir, ou seja, basta tomar as mesmas precauções que você toma ao receber um e-mail estranho com códigos, anexos executáveis, etc...

Vale mais o bom senso!

Para fazer a atualização completa eu perco o que eu fiz nos orders forms? ou não preciso reenviar essa parte?

Link para o comentário
Compartilhar em outros sites
Visitante

Visitante

Postado
Postado
Para fazer a atualização completa eu perco o que eu fiz nos orders forms? ou não preciso reenviar essa parte?

É recomendado enviar, vai que eles alteraram alguma coisa, seilá!

Link para o comentário
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.
 Compartilhar
Ir para a lista de tópicos

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?

  I accept