BDU:2024-05847

Опубликовано: 02 июл. 2024

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Высокий

Описание

Уязвимость панели управления Linux-сервера 1Panel связана с непринятием мер по защите структуры запроса SQL при обработке параметра orderBy. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации и выполнить произвольный код

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

1Panel

Версия ПО

до 1.10.12 (1Panel)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/1Panel-dev/1Panel/releases/tag/v1.10.12-lts

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-39907
CVE

EPSS

Процентиль: 99%

0.84705

Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2024-39907

CVSS3: 9.8

nvd

больше 1 года назад

1Panel is a web-based linux server management control panel. There are many sql injections in the project, and some of them are not well filtered, leading to arbitrary file writes, and ultimately leading to RCEs. These sql injections have been resolved in version 1.10.12-tls. Users are advised to upgrade. There are no known workarounds for these issues.

GHSA-5grx-v727-qmq6

CVSS3: 9.8

github

больше 1 года назад

1Panel has an SQL injection issue related to the orderBy clause

EPSS

Процентиль: 99%

0.84705

Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2