今天看啥  ›  专栏  ›  阿乐你好

1Panel服务器管理控制面板SQL注入CVE-2024-39907漏洞复现

阿乐你好  · 公众号  ·  · 2024-07-30 11:34

主要观点总结

文章介绍了1Panel这款基于Web的Linux服务器管理控制面板的安全问题。指出存在SQL注入漏洞,可能导致任意文件写入及远程代码执行(RCE)。提醒用户升级到已修复该漏洞的版本1.10.12-tls。文章还提供了下载地址及安装指导,并附有POC及相关链接。

关键观点总结

关键观点1: 1Panel存在SQL注入漏洞

文章中提到,该项目的某些部分存在SQL注入问题,部分注入过滤不完善,可能导致安全问题。

关键观点2: 漏洞影响版本及已修复版本

文章指出受影响的版本是v1.10.9-lts,而修补版本是v1.10.12-tls。

关键观点3: 漏洞利用可能导致RCE

文章说明,利用这些SQL注入漏洞可能导致远程代码执行(RCE)。

关键观点4: 建议用户升级

文章建议用户升级到已修复该漏洞的版本,以保障系统安全。

关键观点5: 提供了下载地址、安装指导及相关链接

文章提供了1panel的安装包下载地址、安装步骤,以及相关的参考链接。


文章预览

  1Panel 是一款基于 Web 的 Linux 服务器管理控制面板。项目中存在大量 SQL 注入,部分注入过滤不善,导致任意文件写入,最终导致 RCE。这些 SQL 注入已在 1.10.12-tls 版本中得到解决。建议用户升级。目前尚无针对这些问题的已知解决方法。   下载1panel安装包,可通过下面的地址进行下载(需要登录): https: / /community.fit2cloud.com/ #/download/1panel/v1-10-10-lts 也可通过本站直接下载(速度较慢) https ://www.xsssql.com/wp-content/uploads/ 2024 / 07 / 1 panel-v 1 . 10 . 10 -lts-linux-amd 64 .tar.gz 源码下载地址如下: https: //github.com/1Panel-dev/1Panel 下载完之后需要对包进行解压: cd /tmp # 解压安装包(1panel-v1.10.10-lts-linux-amd64.tar.gz 为示例安装包名称,操作时可根据实际安装包名称替换) tar zxvf 1panel-v1.10.10-lts-linux-amd64.tar.gz 开始执行安装 su chmod 777 install.sh ./install.sh 如图: 根据提示输入相关入 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览