cPanel & WHM and WP2 (WordPress Squared)

Die Schwachstelle betrifft cPanel & WHM (WebHost Manager) sowie WP2 (WordPress Squared) des Herstellers WebPros – weit verbreitete Verwaltungsoberflächen für Webhosting-Server. Der Fehler steckt im Anmeldevorgang (Login-Flow) und ermöglicht eine Umgehung der Authentifizierung: Ein Angreifer kann den eigentlich vorgeschalteten Mechanismus zur Identitätsprüfung austricksen und sich Zugang verschaffen, ohne gültige Zugangsdaten zu besitzen. Ausnutzen lässt sich die Lücke aus der Ferne und ohne vorherige Anmeldung. Dadurch erhält ein unautorisierter Angreifer Zugriff auf das Verwaltungs-Kontrollpanel und damit auf die zentrale Steuerung des Hosting-Systems. Besonders schwer wiegt das, weil über diese Kontrollpanels typischerweise zahlreiche Webseiten, Konten, Datenbanken und E-Mail-Postfächer verwaltet werden – ein erfolgreicher Zugriff betrifft also nicht nur den Server selbst, sondern potenziell alle darüber gehosteten Kundenumgebungen. Da die Oberflächen häufig direkt aus dem Internet erreichbar sind, ist der Angriffsweg unmittelbar exponiert.