一、漏洞概要
漏洞名称 |
CyberPanel upgrademysqlstatus 接口命令执行漏洞 |
发布时间 |
2024年10月30日 |
组件名称 |
CyberPanel |
影响范围 |
CyberPanel2.3.5 CyberPanel2.3.6 |
漏洞类型 |
命令执行 |
利用条件 |
1、用户认证:不需要用户认证 2、前置条件:默认配置 3、触发方式:远程 |
综合评价 |
<综合评定利用难度>:容易,能造成远程命令执行。 <综合评定威胁等级>:严重,能造成远程命令执行。 |
官方解决方案 |
已发布 |
二、漏洞分析
2.1组件介绍
CyberPanel是一个开源的托管控制面板,它是为VPS和Dedi cated Servers设计的,用于简化网站和服务的管理。
2.2漏洞描述
2024年10月30日,深瞳漏洞实验室监测到一则CyberPanel组件存在命令执行漏洞的信息,漏洞威胁等级:严重。
CyberPanel的upgrademysqlstatus接口存在命令执行漏洞,未授权的攻击者可以利用该漏洞执行任意命令,导致服务器失陷。
三、影响范围
目前受影响的CyberPanel版本:
CyberPanel2.3.5
CyberPanel2.3.6
四、解决方案
4.1修复建议
1.官方修复建议
官方已发布最新版本修复该漏洞,请受影响用户将CyberPanel更新到2.3.7及以上版本,下载链接:https://github.com/usmannasir/cy berpanel/tree/v2.3.7
五、参考链接
https://dreyand.rs/code/review/2024/10/27/what-are-my-options-cyb erpanel-v236-pre-auth-rce
