【0day预警】最新版小皮面板(XPanel)组合拳前台RCE

发布于2025年4月26日2025年7月19日作者:cve-20

【0day预警】最新版小皮面板(XPanel)组合拳前台RCE

sec0nd安全 2025-04-26 02:26

点击上方蓝字·关注我们

免责声明

由于传播、利用本公众号
菜狗安全
所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号
菜狗安全
及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，会立即删除并致歉。

前言

文章由交流群匿名大手子投稿

漏洞详情作者已复现确认存在

文章目录

项目介绍
漏洞详情
    漏洞概述
    漏洞细节
    漏洞影响
漏洞复现 
最后

项目介绍

小皮面板（XPanel）、phpStudy为河南小皮安全技术有限公司旗下产品，小皮面板（XPanel）面向Linux服务器运维领域，于2024年基于全新技术架构升级重构，产品定位是提供稳定、安全、简单易用的Linux服务器运维体验，phpStudy诞生于2007年，是一款老牌知名的PHP开发集成环境工具，产品历经多次迭代升级，目前有phpStudy经典版、phpStudy V8（2019版）小皮项目成立至今，始终坚持以公益为主导，秉持永久免费的产品理念。靠着一点点口碑的积累，小皮产品成了众多站长和开发者们的首选工具。

fofa
：
icon_hash=”-1458616391″

由于小皮面板搭建后端口是随机开放的，fofa探测不全，实际资产远不止这些

漏洞详情

漏洞概述

小皮面板（XPanel）最新版存在鉴权绕过漏洞
，攻击者可构造恶意请求直接访问后台管理接口，结合任意文件下载漏洞
获取数据库文件，并从中提取SSH私钥，最终实现远程服务器接管（RCE）
，造成严重安全风险。

漏洞细节

鉴权绕过
攻击者可通过构造特殊HTTP请求，绕过身份验证，直接访问后台敏感路由。
影响范围：未授权用户可执行管理员操作，如系统配置修改、服务启停等。
利用后台功能获取敏感数据
由于权限被绕过，攻击者可访问文件下载功能
（系统正常功能，但本应仅限管理员使用
）
通过下载数据库配置文件（如：
/xp/db/app.db
）
获取存储的SSH密钥或数据库凭据。
SSH密钥泄露与服务器接管
数据库存储SSH密钥（如authorized_keys
或私钥文件路径），攻击者可利用泄露的密钥直接通过SSH登录服务器，获取root权限
，进而植入后门、窃取数据或横向渗透内网。