Avis du CERTA : Vulnérabilité dans cPanel
janvier 2008 par CERT-FR
1 Risque
Injection de code indirecte (cross-site scripting).
2 Systèmes affectés
cPanel, versions 5.x à 11.x.
3 Résumé
Une vulnérabilité du logiciel cPanel permet à utilisateur malveillant de
réaliser de l’injection de code indirecte.
4 Description
Le logiciel cPanel permet d’administrer des applications à distance.
La page dohtaccess.html reçoit un paramètre rurl dont le contenu n’est pas
suffisament filtré. Cette vulnérabilité permet à utilisateur malveillant de
réaliser de l’injection de code indirecte.
5 Solution
Utiliser la version 11.17 build 19417 ou plus.
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs
(cf. section Documentation).
6 Documentation
* Site de cPanel :