Parallels Power Panel 4.x, Cross-site padělání žádostí

Byly oznámeny zranitelnosti v Parallels Virtuozzo Power Panel, které mohou být zneužity k vedení útoků založených na cross-site padělání žádostí a potenciálně plně kompromitovat zranitelný systém. Zranitelnosti jsou způsobeny aplikací, která dovoluje svým uživatelům provádět určité akce v sekcích „Změnit heslo” a „správce souborů” přes HTTP žádosti bez jakékoli kontroly oprávnění. To poskytuje možnost například změnit administrátorovo heslo nebo přepsání libovolných souborů nalákáním administrátora k otevření speciálních webových stránek. Některé chyby jsou již prý opraveny ve verzi 365.6.swsoft, každopádně se nedoporučuje prohlížení jiných stránek při přihlášení do Parallels Power Panel. Více zde.