日前，埃及安全專家Ebrahim Hegazy發現梭子魚的更新服務器中存在的安全問題，通過該漏洞可以獲取到一些用戶的憑據。

當系統管理員需要去保護一個目錄不能被普通用戶訪問的時候，有很多方法，其中之一就是配置htaccess和htpasswd，當配置了之后，會彈出一個對話框，讓用戶輸入身份驗證的憑據，這些憑據保存在htpasswd文件里面，格式如下：

Username:Password

正常情況下，htpasswd文件應該存儲在web目錄以外(例如C:\AnyName\.htpasswd)，但是梭子魚的文件存儲在admin目錄下，任意用戶可以直接訪問下面的鏈接。

http://updates.cudasvc.com/admin/.htpasswd

通過訪問該鏈接，可以獲取所有梭子魚公司用戶的帳號，如：

Support、Sales、英國分公司員工的密碼、更新服務器用戶等，并且這些密碼都是明文，如下圖：