Hostusの顧客は昨日からこのメールを受け取り始めました。私も今日届きました。

WHMCSクライアント課金システム（ my.hostus.us ）において、WHMCSテーマ「Lagom Client Theme」に最近確認されたセキュリティ脆弱性が原因で、ハッカーによるWHMCSデータベースへの不正アクセスが発生しました。このセキュリティ侵害により、WHMCSデータベースへのアクセスがハッカーによって不正に行われた可能性があります。アクセスされたデータが悪用される可能性を認識しております。アクセスされたデータの安全性を絶対的に保証することはできません。そのため、アカウント、サービス、システムを保護するために、必要なすべての予防措置を講じることを強くお勧めします。

ご利用のサービス（VPS、共有ホスティングなど）のアカウントパスワードが、サービス開始時のパスワードから変更されていない場合は、直ちに変更してください。HostUSのお客様アカウントのパスワードもmy.hostus.usから変更してください。ご不便をおかけしましたことを心よりお詫び申し上げます。この度の状況下でも、お客様をサポ​​ートできるよう全力を尽くしておりますので、ご理解のほどよろしくお願いいたします。

現在、お客様にご提供するための完全な透明性レポートを作成中です。このような事態が発生し、大変残念に思っております。このメールをお送りするのは大変残念ですが、この状況に対し、私たちは全力を尽くしておりますので、ご安心ください。

ドメインあたり 149 ドルで、RS Studio はセキュリティ監査を実施できると思われるでしょう。

私は現在Hostusの顧客ではありませんが、過去に何度か利用したことがあり、概ね良い経験でした。@AlexanderMさんの会社にこのようなことが起こったのは残念です。彼らは長年私たちのコミュニティで活動し、高い評価を得てきました。

彼らは十分な注意を払って行動しているように見えますが、それは非常に責任あるアプローチです。RSはこの問題について次のように説明しています。

セキュリティ問題について

この問題は、WHMCSクライアントエリアにログインした際に、お客様が画像ファイル（PNG、JPG、SVG、GIF）をアップロードできる特定の機能に関係しています。この機能では、PHPのMIMEタイプチェックを使用して、これらの画像形式のみをアップロードできるようにしていました。しかしながら、MIME機能のセキュリティ対策が完全に万全ではないことが判明しました。

熟練したハッカーがこの機能を悪用する可能性があることが確認されています。特定のURLを実行することで、意図された制限を回避し、PHPファイルをアップロードすることが可能です。この脆弱性は重大なセキュリティリスクをもたらします。

この機能はLagomクライアントテーマでは一切使用されていないことをご安心ください。予防措置として、潜在的なリスクを排除するため、アドオンファイルからこの関数を完全に削除しました。

面白いことに、「Lagom WHMCS ハック」を Google で検索すると、 WHT スレッドが見つかり、さらに詳しい情報については25230を参照できます。

ちなみに、この記事のためにこの画像を選びました。ナズグルが誰かの Web サイトをハッキングしているように見えて面白かったからです。