硬编码键会创建零日rce漏洞
更新MyLittLeadmin中的未分割的远程远程执行(RCE)漏洞为未经身份验证环境的未经身份验证攻击者创建了一个Ready机制。
MyLittLeadmin(MLA)是一个基于Webeplay体育能用吗b的管理工具,由MylittleTools销售到托管行业和销售。
虽然产品开发似乎已停止(自2013年以来没有新版本),但它仍然在公司网站上提供,并且是一个流行的Web托管控制面板的Plesk的组成部分。beplay体育能用吗
由希望保持匿名的安全研究员发现的漏洞的详细信息由SSD发布,运行安全披露程序。
非常大的零点
根据SSD的咨询,MylittLeadmin的缺陷源于依赖默认凭据。
“MyLittLeadmin为所有安装使用硬编码的MachineKey,此值保留在文件中:C:\ Program Files(x86)\ mylittleadminbeplay体育能用吗 \ web.config,“SSD”咨询解释。
“具有此知识的攻击者可以序列化将由服务器使用的ASP代码解析的对象,就像它是MyLittLeadmin的序列化对象一样。这允许攻击者在远程服务器上执行命令。“
即使Mylittleadmin不再积极开发,SSD仍然广泛使用该技术,SSD每日SWbeplay2018官网IG.。
“MLA仍然有数千名活跃的用户,”SSD的代表解释说。
“此外,我想强调的是,这里的更严重的问题是,该产品仍在作为Plesk包的一部分提供并提供,尽管自2013年以来没有支持。”
去上市
MylittLeadmin版本3.8被确认为脆弱。旧版本也可能是可利用的,但这是未经证实的。
SSD通过咨询和概念证明,在未能获得其开发人员的回复之后,概念开发的咨询和概念证明,mylittleTools.。
每日SWbeplay2018官网IG.接近MylittleTools和Plesk进行评论。
迈尔特特拉特的代表告诉了每日SWbeplay2018官网IG.这取决于用户删除的测试帐户,以其产品带来安全问题。
“机器在内beplay体育能用吗web.config.文件作为示例给出,可以/应该由[] IIS管理员更改,“他们解释说明。
虽然我们无法从发现漏洞的研究人员那里得到回复,但默认情况下,Mylittleadmin仍然可以缓解,但如果“任何人都被黑客攻击它是未编辑配置文件的最终用户的故障”。
此故事已被编辑为添加MylittleTools的评论
