压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

01?漏洞詳情

影響組件

CyberPanel是一個開源的Web控制面板，它提供了一個用戶友好的界面，用于管理網(wǎng)站、電子郵件、數(shù)據(jù)庫、FTP賬戶等。CyberPanel旨在簡化網(wǎng)站管理任務(wù)，使非技術(shù)用戶也能輕松管理自己的在線資源。

漏洞描述

近日，奇安信CERT監(jiān)測到官方修復(fù)CyberPanel upgrademysqlstatus 遠(yuǎn)程命令執(zhí)行漏洞(QVD-2024-44346)，該漏洞源于upgrademysqlstatus接口未做身份驗(yàn)證和參數(shù)過濾，未授權(quán)的攻擊者可以通過此接口執(zhí)行任意命令獲取服務(wù)器權(quán)限，從而造成數(shù)據(jù)泄露、服務(wù)器被接管等嚴(yán)重的后果。目前該漏洞技術(shù)細(xì)節(jié)與EXP已在互聯(lián)網(wǎng)上公開，鑒于該漏洞影響范圍較大，建議客戶盡快做好自查及防護(hù)。

02?影響范圍

影響版本

CyberPanel v2.3.5

CyberPanel v2.3.6

其他受影響組件

無

03?復(fù)現(xiàn)情況

目前，奇安信威脅情報(bào)中心安全研究員已成功復(fù)現(xiàn)CyberPanel upgrademysqlstatus 遠(yuǎn)程命令執(zhí)行漏洞(QVD-2024-44346)安全風(fēng)險通告，截圖如下：

04?受影響資產(chǎn)情況

奇安信鷹圖資產(chǎn)測繪平臺數(shù)據(jù)顯示，CyberPanel upgrademysqlstatus 遠(yuǎn)程命令執(zhí)行漏洞(QVD-2024-44346)關(guān)聯(lián)的國內(nèi)風(fēng)險資產(chǎn)總數(shù)為12289個，關(guān)聯(lián)IP總數(shù)為4316個。國內(nèi)風(fēng)險資產(chǎn)分布情況如下：

CyberPanel upgrademysqlstatus 遠(yuǎn)程命令執(zhí)行漏洞(QVD-2024-44346)關(guān)聯(lián)的國內(nèi)風(fēng)險資產(chǎn)總數(shù)為241306個，關(guān)聯(lián)IP總數(shù)為52719個。全球風(fēng)險資產(chǎn)分布情況如下：

05?處置建議

安全更新

目前官方已有可更新版本，建議受影響用戶升級至最新版本：

CyberPanel >= v2.3.7

官方下載地址：

https://github.com/usmannasir/cyberpanel/tree/v2.3.7

06?參考資料

[1]https://dreyand.rs/code/review/2024/10/27/what-are-my-options-cyberpanel-v236-pre-auth-rce

聲明：本文來自奇安信 CERT，稿件和圖片版權(quán)均歸原作者所有。所涉觀點(diǎn)不代表東方安全立場，轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)，請聯(lián)系rhliu@skdlabs.com，我們將及時按原作者或權(quán)利人的意愿予以更正。