Критична вразливість Blind SQL Injection у Control Web Panel до версії 0.9.8.1225
Критична blind SQL injection у Control Web Panel дозволяє віддалене виконання коду. Рекомендується оновлення та посилення безпеки сервера.
- CVSS
- 9.3 CRITICAL
- EPSS
- 43.78%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
У Control Web Panel до версії 0.9.8.1225 виявлено критичну вразливість blind SQL injection, що дозволяє неавторизованим віддаленим зловмисникам виконувати довільні SQL-запити через параметр userRes у POST-запитах. Використовуючи отримані права root MySQL, атакуючі можуть записувати файли на сервер і розгортати PHP вебшелл для віддаленого виконання коду.
Бізнес-вплив
Ця вразливість створює серйозну загрозу для безпеки інфраструктури, оскільки дозволяє зловмисникам отримати повний контроль над сервером через віддалене виконання коду з правами облікового запису cwpsvc. Це може призвести до компрометації даних, порушення роботи сервісів та подальшого розповсюдження шкідливого ПЗ в мережі підприємства.
Рекомендовані дії адміністратора
Адміністраторам рекомендується негайно перевірити наявність оновлень від виробника Control Web Panel і застосувати їх. У разі неможливості швидкого оновлення слід обмежити доступ до уразливого endpoint, провести аудит логів на предмет підозрілої активності та посилити моніторинг системи. Важливо також переглянути політики безпеки для зменшення ризиків експлуатації вразливості.