Foi a Digital Defense, que desenvolve soluções de gestão de ameaças e vulnerabilidades, que descobriu esta falha e que afeta milhões de plataformas de web hosting.

O Cpanel permite a quem hospeda sites a automação da gestão do servidor e de tarefas de web hosting, estimando-se no momento que existam dezenas de milhões de domínios assim geridos mundialmente.

Devido ao facto de um atacante poder fazer um ataque de força-bruta ao sistema de dois fatores, tendo acesso a credenciais válidas do utilizador, a falha podia ser aproveitada pelo atacante em minutos para conseguir a ultrapassagem da autenticação por dois fatores.

Versões vulneráveis

11.90.0.5 (90.0 Build 5)

Versões corrigidas

11.92.0.2

11.90.0.17

Mais informações: https://www.helpnetsecurity.com/2020/11/25/cpanel-2fa-bypass/