Ir para conteúdo
View in the app

A better way to browse. Learn more.
Portal do Host

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Atenção! Falha de segurança no WHMCS

Por eloimarquessilva
em Gerenciadores de hospedagem

Featured Replies

Postado
Espero que a versão 5 acima ainda esteja longe de ter esse problema.

Desde que você aplique o patch e atualize para a 5.0.3.

Importante notar que o ataque só tem sucesso se você clicar no ticket dentro do WHMCS. Se você viu através de e-mail ou da listagem dos tickets esse código basta selecionar o ticket na caixa de seleção e excluir, ou seja, basta tomar as mesmas precauções que você toma ao receber um e-mail estranho com códigos, anexos executáveis, etc...

Vale mais o bom senso!


Postado
  • Autor
Desde que você aplique o patch e atualize para a 5.0.3.

Importante notar que o ataque só tem sucesso se você clicar no ticket dentro do WHMCS. Se você viu através de e-mail ou da listagem dos tickets esse código basta selecionar o ticket na caixa de seleção e excluir, ou seja, basta tomar as mesmas precauções que você toma ao receber um e-mail estranho com códigos, anexos executáveis, etc...

Vale mais o bom senso!

Legal a dica... mas infelizmente, com relação a este problema em especifico, essa dica não funciona.

No horario da infecção do meu WHMCS (pela data e hora da criação dos arquivos) não havia ninguem logado no WHMCS portanto a falha explorada funciona tanto com o e-mail quanto com o WHMCS propriamente dito. Isso porque a falha explora um recurso da Smarty (biblioteca muito popular para gerenciamento de templates em PHP) e a Smarty é usada também nas templates de e-mail. Ou seja a falha existe nas duas formas e-mail e sistema.


Postado

Se uparem uma shell no seu servidor eu lhe desejo boa sorte :)


Postado
  • Autor
Se uparem uma shell no seu servidor eu lhe desejo boa sorte :)

Não foi esse o foco do ataque. Poderiam ter dado um DROP nas tabelas do WHMCS e só fizeram um DUMP


Postado
Espero que a versão 5 acima ainda esteja longe de ter esse problema.

Tambem espero isso hehe


Postado
Não foi esse o foco do ataque. Poderiam ter dado um DROP nas tabelas do WHMCS e só fizeram um DUMP

Você não entendeu o que eu quis dizer...


Postado
Desde que você aplique o patch e atualize para a 5.0.3.

Importante notar que o ataque só tem sucesso se você clicar no ticket dentro do WHMCS. Se você viu através de e-mail ou da listagem dos tickets esse código basta selecionar o ticket na caixa de seleção e excluir, ou seja, basta tomar as mesmas precauções que você toma ao receber um e-mail estranho com códigos, anexos executáveis, etc...

Vale mais o bom senso!

Para fazer a atualização completa eu perco o que eu fiz nos orders forms? ou não preciso reenviar essa parte?


Postado
Para fazer a atualização completa eu perco o que eu fiz nos orders forms? ou não preciso reenviar essa parte?

É recomendado enviar, vai que eles alteraram alguma coisa, seilá!


Postado
Para fazer a atualização completa eu perco o que eu fiz nos orders forms? ou não preciso reenviar essa parte?

Por quê você não cria uma nova pasta de template com essas alterações? Assim não precisa se preocupar quando fizer upgrades no WHMCS.


Postado

não que o sistema simplesmente não pode ter erros mas que essa falha de segurança aí foi grotesca, foi!


Visitante
Este tópico está impedido de receber novos posts.
https://portaldohost.com.br/topic/6516-aten%C3%A7%C3%A3o-falha-de-seguran%C3%A7a-no-whmcs/
Ir para a lista de tópicos

Quem Está Navegando 0

  • Nenhum usuário registrado visualizando esta página.

Informação Importante

Concorda com os nossos termos?

I accept

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.