CVE-2024-51378

2024. december 10. 09:48

CyberPanel RCE sérülékenysége
Angol cím: CyberPanel RCE vulnerability

Publikálás dátuma: 2024.10.29.
Utolsó módosítás dátuma: 2024.12.06.

A sérülékenység aktívan kihasználtként volt megjelölve az alábbi dátumtartományra vonatkozóan: 2024.12.04. – 2024.12.25.

Leírás

A program nem, vagy helytelenül semlegesíti azokat az elemeket a bemenetből, melyek módosíthatják a tervezett operációs rendszer parancsot, amikor azt a következő komponensnek küldi.

Leírás forrása: CWE-78 Leírás utolsó módosítása: 2024.11.19.

Elemzés leírás

Eredeti nyelven:

getresetstatus in dns/views.py and ftp/views.py in CyberPanel (aka Cyber Panel) before 1c0c6cb allows remote attackers to bypass authentication and execute arbitrary commands via dns/getresetstatus or ftp/getresetstatus by bypassing secMiddleware (which is only for a POST request) and using shell metacharacters in the statusfile property, as exploited in the wild in October 2024 by PSAUX. Versions through 2.3.6 and (unpatched) 2.3.7 are affected.

Elemzés leírás forrása: CVE-2024-51378 Elemzés leírás utolsó módosítása: 2024.12.06.

Hatás

CVSS3.1 Súlyosság és Metrika

Base score: 9.8 (Kritikus)
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Impact Score: 5.9
Exploitability Score: 3.9

Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High