Krytyczna podatność SQL Injection w Control Web Panel do wersji 0.9.8.1225

Krytyczna podatność SQL Injection w Control Web Panel do wersji 0.9.8.1225 umożliwia zdalne wykonanie kodu. Zalecane szybkie aktualizacje i monitoring.
CVE-2026-57517CVSS 9.3Web

Krytyczna podatność SQL Injection w Control Web Panel do wersji 0.9.8.1225

Krytyczna podatność SQL Injection w Control Web Panel do wersji 0.9.8.1225 umożliwia zdalne wykonanie kodu. Zalecane szybkie aktualizacje i monitoring.

CVSS
9.3 CRITICAL
EPSS
43.78%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Control Web Panel w wersjach przed 0.9.8.1225 zawiera krytyczną podatność typu blind SQL injection, umożliwiającą zdalnym, nieautoryzowanym atakującym wykonanie dowolnych zapytań SQL poprzez parametr userRes w żądaniu POST. Wykorzystanie tej luki pozwala na uzyskanie uprawnień roota MySQL i zapisanie plików na serwerze, co może prowadzić do wdrożenia złośliwego PHP webshella i zdalnego wykonania kodu.

Wpływ biznesowy

Podatność ta stanowi poważne zagrożenie dla bezpieczeństwa serwerów korzystających z Control Web Panel, gdyż umożliwia atakującym przejęcie kontroli nad systemem na poziomie konta cwpsvc. Może to skutkować nieautoryzowanym dostępem do danych, modyfikacją plików oraz dalszym rozprzestrzenianiem się złośliwego oprogramowania. Operatorzy powinni traktować tę lukę jako krytyczną i priorytetowo podejść do jej eliminacji.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji lub poprawek od dostawcy Control Web Panel i ich wdrożenie. W przypadku braku łatki należy ograniczyć dostęp do panelu, monitorować logi pod kątem podejrzanej aktywności oraz rozważyć zastosowanie dodatkowych mechanizmów ochronnych, takich jak firewall aplikacyjny. Priorytetowo należy przeprowadzić audyt bezpieczeństwa i weryfikację integralności systemu.

Źródła