Критична вразливість Blind SQL Injection у Control Web Panel до версії 0.9.8.1225

Критична blind SQL injection у Control Web Panel дозволяє віддалене виконання коду. Рекомендується оновлення та посилення безпеки сервера.
CVE-2026-57517CVSS 9.3Web

Критична вразливість Blind SQL Injection у Control Web Panel до версії 0.9.8.1225

Критична blind SQL injection у Control Web Panel дозволяє віддалене виконання коду. Рекомендується оновлення та посилення безпеки сервера.

CVSS
9.3 CRITICAL
EPSS
43.78%
Активно використовується
немає в KEV
Продукт
-

Що відомо

У Control Web Panel до версії 0.9.8.1225 виявлено критичну вразливість blind SQL injection, що дозволяє неавторизованим віддаленим зловмисникам виконувати довільні SQL-запити через параметр userRes у POST-запитах. Використовуючи отримані права root MySQL, атакуючі можуть записувати файли на сервер і розгортати PHP вебшелл для віддаленого виконання коду.

Бізнес-вплив

Ця вразливість створює серйозну загрозу для безпеки інфраструктури, оскільки дозволяє зловмисникам отримати повний контроль над сервером через віддалене виконання коду з правами облікового запису cwpsvc. Це може призвести до компрометації даних, порушення роботи сервісів та подальшого розповсюдження шкідливого ПЗ в мережі підприємства.

Рекомендовані дії адміністратора

Адміністраторам рекомендується негайно перевірити наявність оновлень від виробника Control Web Panel і застосувати їх. У разі неможливості швидкого оновлення слід обмежити доступ до уразливого endpoint, провести аудит логів на предмет підозрілої активності та посилити моніторинг системи. Важливо також переглянути політики безпеки для зменшення ризиків експлуатації вразливості.

Джерела