cPanel上周发布了补丁程序，以解决cPanel＆WebHost Manager（WHM）中的三个漏洞，其中一个漏洞导致两因素身份验证绕过。

为Linux，cPanel和WHM构建的一套工具可帮助托管提供商和用户自动化管理和网络托管任务。凭借20多年的网络托管经验，cPanel声称使用cPanel＆WHM的服务器已经启动了超过7,000万个域。

由数字防御公司（Digital Defense，Inc.）的安全研究人员确定，2FA旁路问题可能使攻击者能够对cPanel＆WHM进行暴力攻击。研究人员说，了解或访问有效凭据的攻击者可以在几分钟内绕过帐户的2FA保护。

该漏洞的CVSS评分为4.3，导致攻击者能够重复提交2FA代码。

cPanel解释说： “两因素验证代码验证失败现在被视为等同于帐户主密码验证失败和cPHulk限制的速率。”

发现cPanel＆WHM内部版本11.92.0.2、11.90.0.17和11.86.0.32易受攻击。

由于创建到其他接口的URI的方式，也发现相同的构建易于受到URL参数注入的影响。

创建URI时（通过在URI查询参数中包括用户提供的数据），使用URL编码而不是URI编码。因此，用户可能会被诱骗执行意外的动作。

上周解决的第三个漏洞是WHM传输工具界面中的XSS自我问题，该错误信息未正确编码，因此可能会将HTML代码注入某些消息中。发现内部版本11.92.0.2和11.90.0.17容易受到攻击。

“ cPanel安全团队和独立安全研究人员确定了已解决的安全问题。cPanel上周表示： “没有理由相信这些漏洞已经为公众所了解。”