【漏洞通告】CyberPanel远程命令执行漏洞

文章预览

一、漏洞 概述 漏洞名称  CyberPanel远程命令执行漏洞  CVE   ID 暂无 漏洞类型 命令注入 发现时间 2024-10-28 漏洞评分 暂无 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 PoC/EXP 已公开 在野利用 未发现 CyberPanel是一个基于OpenLiteSpeed的Web托管控制面板，它提供了直观的用户界面和简单易用的操作方式，使得用户可以轻松管理自己的网站和服务器。 2024年10月28日，启明星辰集团VSRC监测到CyberPanel中存在一个远程命令执行漏洞。由于upgrademysqlstatus接口缺乏适当的身份验证检查以及对statusfile参数的输入验证和清理，未经身份验证的攻击者可构造特制请求将恶意命令注入到 statusfile 参数字段，利用该漏洞远程执行任意命令，成功利用可能导致数据泄露或执行未授权操作。 二、影响范围 CyberPanel v2.3.5 CyberPanel v2.3.6 三、安全措施 3.1 升级版 ………………………………