北京赛克艾威科技有限公司 2026-04-29
cPanel&WHM 是全球主流的 LinuxWeb 托管控制面板,WHM 提供服务器级管理能力,cPanel 面向站点用户提供网站、域名、数据库、邮件等一站式运维管理,广泛应用于虚拟主机、IDC 机房、云服务商与企业自建托管环境,支撑全球数百万站点与服务器的日常运维,具备图形化操作、一键部署、自动化配置等核心能力,是 Web 托管领域最普及的管理平台之一。 该漏洞源于登录流程中的会话加载与保存机制存在逻辑缺陷。攻击者通过 Basic 认证头在密码字段注入 CRLF 字符,并利用缺少 ob(对象)部分的会话 cookie 避免密码编码,从而将恶意键值对写入原始会话文件。随后触发 token\_denied 流程,使系统重新解析该文件并将注入的 hasroot\=1、user\=root 等记录提升至 JSON 缓存,最终绕过密码验证获得管理员权限。
暂无