W panelu sterowania Kloxo (LXCenter) przed wersją 6.1.12 istnieje podatność SQL injection w parametrze login-name, która pozwala nieuwierzytelnionemu atakującemu wydobyć hasło administratora z bazy danych. Po przejęciu danych uwierzytelniających możliwe jest wykonanie dowolnych poleceń systemu operacyjnego z uprawnieniami root.
▸ Pokaż oryginał (EN)
An unauthenticated SQL injection vulnerability exists in the Kloxo web hosting control panel (developed by LXCenter) prior to version 6.1.12. The flaw resides in the login-name parameter passed to lbin/webcommand.php, which fails to properly sanitize input, allowing an attacker to extract the administrator’s password from the backend database. After recovering valid credentials, the attacker can authenticate to the Kloxo control panel and leverage the Command Center feature (display.php) to execute arbitrary operating system commands as root on the underlying host system. This vulnerability was reported to be exploited in the wild in January 2014.
Parametr login-name przekazywany do skryptu lbin/webcommand.php nie jest odpowiednio oczyszczany, co umożliwia wstrzyknięcie złośliwego kodu SQL (CWE-89). Atakujący może w ten sposób odczytać hasło administratora przechowywane w backendowej bazie danych bez jakiegokolwiek uwierzytelnienia. Po zalogowaniu się na konto administratora atakujący wykorzystuje funkcję Command Center (display.php) do wykonania dowolnych poleceń systemowych. Komendy te są uruchamiane z uprawnieniami root na hoście, co oznacza pełne przejęcie kontroli nad serwerem.
Atakujący może uzyskać pełną kontrolę nad serwerem, wykonując dowolne polecenia systemu operacyjnego z uprawnieniami root — łącznie z instalacją backdoorów, kradzieżą danych i przejęciem wszystkich hostowanych serwisów.
Należy zaktualizować Kloxo do wersji 6.1.12 lub nowszej. Jeśli aktualizacja nie jest możliwa, należy natychmiast ograniczyć dostęp do panelu Kloxo na poziomie firewall do zaufanych adresów IP oraz rozważyć migrację do alternatywnego rozwiązania.
Kloxo (LXCenter) w wersjach wcześniejszych niż 6.1.12
Według opisu podatność była aktywnie wykorzystywana w środowisku produkcyjnym w styczniu 2014 roku. Dostępny jest publiczny moduł exploit w Metasploit Framework oraz wpis w Exploit-DB (EDB-31577). Mimo to pole CISA KEV wskazuje brak oficjalnego wpisu w katalogu znanych exploitowanych podatności.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X