Krytyczna podatność SQL Injection w Control Web Panel do wersji 0.9.8.1225
Krytyczna podatność SQL Injection w Control Web Panel do wersji 0.9.8.1225 umożliwia zdalne wykonanie kodu. Zalecane szybkie aktualizacje i monitoring.
- CVSS
- 9.3 CRITICAL
- EPSS
- 43.78%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Control Web Panel w wersjach przed 0.9.8.1225 zawiera krytyczną podatność typu blind SQL injection, umożliwiającą zdalnym, nieautoryzowanym atakującym wykonanie dowolnych zapytań SQL poprzez parametr userRes w żądaniu POST. Wykorzystanie tej luki pozwala na uzyskanie uprawnień roota MySQL i zapisanie plików na serwerze, co może prowadzić do wdrożenia złośliwego PHP webshella i zdalnego wykonania kodu.
Wpływ biznesowy
Podatność ta stanowi poważne zagrożenie dla bezpieczeństwa serwerów korzystających z Control Web Panel, gdyż umożliwia atakującym przejęcie kontroli nad systemem na poziomie konta cwpsvc. Może to skutkować nieautoryzowanym dostępem do danych, modyfikacją plików oraz dalszym rozprzestrzenianiem się złośliwego oprogramowania. Operatorzy powinni traktować tę lukę jako krytyczną i priorytetowo podejść do jej eliminacji.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji lub poprawek od dostawcy Control Web Panel i ich wdrożenie. W przypadku braku łatki należy ograniczyć dostęp do panelu, monitorować logi pod kątem podejrzanej aktywności oraz rozważyć zastosowanie dodatkowych mechanizmów ochronnych, takich jak firewall aplikacyjny. Priorytetowo należy przeprowadzić audyt bezpieczeństwa i weryfikację integralności systemu.