Bem, para juntar mais umas achas na fogueira e sem querer lançar o panico, todos os sistemas WHMCS são bastante vulneraveis e várias exploits estão já neste momento a ser usadas. O código foi descompilado lá por volta do natal e pelos vistos é uma bela porcaria, levando a crer que a encriptação servia maioritáriamente para esconder o mau código do autor.
Segundo alguns experts, as chaves de desencriptação de todas as passwords no sistema (incluindo de administração) são fácilmente extraiveis pois a chave vem junto com o código e não aplica qualquer elemento aleatório como por exemplo uma chave adicional fornecida pelo utilizador o que faria com que cada cliente estivesse mais seguro mesmo que a chave principal fosse descoberta.
Segundo os entendidos na matéria, a forma de escrever código do autor do WHMCS é uma m**** e contém muitos erros de principiante. O sistema contém também inumeras formas de ser usado para SQL Injection sendo que quase todos os ficheiros contém vulnerabilidades.
Com estas belas noticias vos deixo a pensar....
Comments?
Saudações