cve-2024-53376:CyberPanel RCE 已发布PoC

发布于 作者:

cve-2024-53376:CyberPanel RCE 已发布PoC

棉花糖fans 2024-12-18 04:55

安全研究员 Thanatos 发现流行的虚拟主机控制面板 CyberPanel 存在一个严重漏洞 (CVE-2024-53376),攻击者可利用该漏洞完全控制服务器。2.3.8 之前的 CyberPanel 版本易受此安全漏洞影响,通过验证的用户可注入并执行操作系统 (OS) 命令。

该漏洞位于/websites/submitWebsiteCreation,可通过简单的 HTTP OPTIONS 请求加以利用。攻击者可借此绕过安全措施,在未经授权的情况下访问服务器的底层操作系统。

安全研究人员 Thanatos 在 CyberPanel 2.3.7 版本上测试了该漏洞,证明它能够在系统的任何地方执行命令,以 root 权限写入文件。如果可以访问 CyberPanel 的安装文件夹,攻击者就可以进一步提取敏感数据,从而加剧漏洞的严重性。

GitHub 上发布了CVE-2024-53376 的PoC。

CVE-2024-53376 的影响非常严重。成功利用该漏洞可能导致
– “`
root权限:能够以root权限执行命令,让攻击者完全控制受影响的设备。



- ```
**数据外泄**:如果可以访问 CyberPanel 安装文件夹,敏感数据可直接通过web面板提取。
  • “`
    基础设施受损:运行易受攻击的 CyberPanel 版本的虚拟主机服务器可能成为进一步攻击的通道,危及托管网站和客户数据。

“`

CyberPanel 已在 2.3.8 版本中解决了这一漏洞。强烈建议所有用户立即将其安装升级到该版本或更高版本。

poc:

公众号后台回复:
1218

广告:

☟上下滑动查看更多