Plusieurs vulnérabilités ont été identifiées dans VHCS, elles pourraient être exploitées par des attaquants afin de contourner les mesures de sécurité et accéder à une application vulnérable.

1. Le premier problème résulte d'une erreur présente au niveau de la page d'identification (login.php) qui ne filtre pas correctement le champ “username”, ce qui peut être exploité par des attaquants afin d'injecter un code HTML/Javascript malicieux coté client.
2. La seconde faille est due à une erreur présente au niveau du script “admin/change_password.php” qui ne vérifie pas le mot de passe actuel avant d'autoriser sa modification, ce qui pourrait être exploité par des attaquants afin de modifier certains mots de passe et accéder à l'application.
3. La troisième vulnérabilité se situe au niveau de la fonction “check_login()” [gui/include/login.php] qui ne vérifie pas correctement les sessions, ce qui pourrait être exploité par des attaquants afin de contourner les mesures de sécurité et ajouter un administrateur via le script “admin/add_user.php”.
4. La dernière faille se situe au niveau du script “gui/admin/add_user.php” qui ne vérifie pas correctement les privilèges des utilisateurs, ce qui pourrait être exploité par des utilisateurs malveillants afin d'ajouter des nouveaux administrateurs.

Lorsqu'on ajoute un sous-domaine ou encore un alias au domaine (ex : domaine.tld) via l'interface d'administration de l'application VHCS (version 2.4.7.1), le format du numéro de série SOA (Start Of Authority), n'est pas ré-implémenté correctement dans le fichier zone dudit domaine ce qui cause problème pour le transfer DNS.

Après l'installation de l'application VHCS 2 sur les distributions Ubuntu et Debian, le système de sauvegarde des répertoires Web des utilisateurs (Backup), ne fonctionne pas… Ceci provient d'une erreur de typographie insérée dans le fichier de configuration makefile pendant la procédure d'installation.

Spamassassin est un logiciel Antispams entièrement écrit en Perl. Contrairement à ce que beaucoup d'utilisateurs pensent, il ne s'agit aucunement d'un filtre de messages comme procmail puisque contrairement à ce dernier il ne change pas la destination des messages.

Ce logiciel ne fait qu'ajouter des en-têtes à un message, et éventuellement l'encapsule pour indiquer s'il est ou non un spam.

Amavis ( A Mail Virus Scanner ) est une interface entre le MTA (Postfix) et les analyseurs de contenus ( Spamassassin, Clamav ). Ceux-ci scannent les messages pour y detecter d'éventuels virus où pour vérifier s'ils constituent des spams.

Amavis intercepte les messages et traite leurs différentes parties (sépare les pièces jointes, les décompresse, etc…). Ensuite, les différentes parties des messages sont scannées par l'antivirus ( ClamAv ) et l'antispams ( Spamassassin ).

Si aucun virus n'est trouvé, Amavis reforme le message puis le renvoie au MTA (Postfix) pour qu'il soit livré. Dans le cas contraire, les virus sont redirigés dans un répertoire approprié. Pour ce qui concerne les spams, le procédé et pratiquement le même. En effet, selon les règles employées, le message pourra être livré dans la boîte au lettre du destinataire avec des en-têtes modifiés ou directement bloqué (éliminé).

Clamav est un logiciel d'analyse antivirale. Sa principale caractéristique en tant qu'antivirus, et qu'il s'intègre aux Serveur de messagerie ( MTA Postfix ) pour analyser les pièces jointes en vue d'y detecter d'éventuels virus. Comme pour Spamassassin, Clamav a besoin d'une interface permettant de le lier au MTA (Postfix). Encore une fois, ce sera Amavis qui sera employé.