Уважаемые клиенты, кто использует у себя Billmanager!
Появился способ взлома биллинга ухищрённым способом.
Сейчас это выглядит следующим образом
— В вашем биллинге регистрируют аккаунт и создают тикет в тех. поддержку;
— В тикете предлагают перейти по сокращённому url (к примеру, через сервис bit.ly). К примеру, могут сказать, что по этой ссылке скриншот, где видна проблема;
— Внутри ссылка вида
https://billing/manager/billmgr?confirm=test&confirmgen=&elid=&email=test@test.test&func=admin.edit&name=admin12345&passwd=admin12345&passwdgen=&phone=&realname=test%20test&smstimefrom=&smstimeto=&sok=ok&superuser=on
— При переходе по этой ссылке у вас в биллинге появляется суперпользователь admin12345 с паролем admin12345.
Будьте внимательны при переходе по ссылкам и если перешли и видно, что страница не открылась (при таком переходе появится пустая страница), то старайтесь найти вновь созданный аккаунт.
Таким же образом можно поменять и пароль вашего основного аккаунта admin.
Разработчикам о данной уязвимости сообщили.
← Ко всем новостям