CVE-2023-0391

Опубликовано: 21 мар. 2023

Источник: nvd

CVSS3: 8.1

EPSS Низкий

Описание

MGT-COMMERCE CloudPanel ships with a static SSL certificate to encrypt communications to the administrative interface, shared across every installation of CloudPanel. This behavior was observed in version 2.2.0. There has been no indication from the vendor this has been addressed in version 2.2.1.

Ссылки

https://www.bleepingcomputer.com/news/security/cloudpanel-installations-use-the-same-ssl-certificate-private-key/
Exploit
Press/Media Coverage
Third Party Advisory
https://www.rapid7.com/blog/post/2023/03/21/cve-2023-0391-mgt-commerce-cloudpanel-shared-certificate-vulnerability-and-weak-installation-procedures/
Exploit
Third Party Advisory
https://www.bleepingcomputer.com/news/security/cloudpanel-installations-use-the-same-ssl-certificate-private-key/
Exploit
Press/Media Coverage
Third Party Advisory
https://www.rapid7.com/blog/post/2023/03/21/cve-2023-0391-mgt-commerce-cloudpanel-shared-certificate-vulnerability-and-weak-installation-procedures/
Exploit
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:mgt-commerce:cloudpanel:*:*:*:*:*:*:*:*

Версия до 2.2.1 (исключая)

EPSS

Процентиль: 31%

0.00116

Низкий

8.1 High

CVSS3

Дефекты

CWE-321

CWE-798

Связанные уязвимости

GHSA-4gcf-523q-9gmp

CVSS3: 8.1

github

почти 3 года назад

BDU:2023-01566

CVSS3: 7.1

fstec

около 3 лет назад

Уязвимость панели управления серверами и облачными сервисами CloudPanel, связанная с использованием жестко закодированного криптографического ключа для SSL-сертификата, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации