BDU:2024-09083

Опубликовано: 29 окт. 2024

Источник: fstec

CVSS3: 10

CVSS2: 10

EPSS Критический

Описание

Уязвимость функции getresetstatus (dns/views.py, ftp/views.py) панели управления веб-хостингом CyberPanel связана с некорректно используемыми стандартными разрешениями. Эксплуатация уязвимости может позволить нарушителю выполнить произвольные команды

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

CyberPanel

Версия ПО

до 2.3.8 (CyberPanel)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 10)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://cyberpanel.net/blog/detials-and-fix-of-recent-security-issue-and-patch-of-cyberpanel

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-51378
CVE

EPSS

Процентиль: 100%

0.93851

Критический

10 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2024-51378

CVSS3: 10

nvd

больше 1 года назад

getresetstatus in dns/views.py and ftp/views.py in CyberPanel (aka Cyber Panel) before 1c0c6cb allows remote attackers to bypass authentication and execute arbitrary commands via /dns/getresetstatus or /ftp/getresetstatus by bypassing secMiddleware (which is only for a POST request) and using shell metacharacters in the statusfile property, as exploited in the wild in October 2024 by PSAUX. Versions through 2.3.6 and (unpatched) 2.3.7 are affected.

GHSA-c45f-33wq-x2qc

CVSS3: 10

github

больше 1 года назад

EPSS

Процентиль: 100%

0.93851

Критический

10 Critical

CVSS3

10 Critical

CVSS2