【已复现】Cyber​​Panel 远程命令执行漏洞(QVD-2024-44346)安全风险通告

主要观点总结

文章介绍了CyberPanel的upgrademysqlstatus远程命令执行漏洞（QVD-2024-44346）的详细信息，包括漏洞的评级、影响范围、技术细节、危害描述以及处置建议等。

关键观点总结

关键观点1: 漏洞概述

文章介绍了CyberPanel存在一个远程命令执行漏洞（QVD-2024-44346），该漏洞源于upgrademysqlstatus接口未做身份验证和参数过滤，可能导致未授权的攻击者执行任意命令获取服务器权限，从而造成数据泄露或服务器被接管等严重后果。

关键观点2: 影响范围

受影响的是CyberPanel v2.3.5和v2.3.6版本。奇安信鹰图资产测绘平台数据显示，国内风险资产总数为12289个，关联IP总数为4316个；全球风险资产总数为241306个，关联IP总数为52719个。

关键观点3: 复现情况

奇安信威胁情报中心安全研究员已成功复现该漏洞，并进行了安全风险通告。

关键观点4: 处置建议

官方已有可更新版本，建议受影响用户升级至最新版本CyberPanel >= v2.3.7。同时，产品解决方案如奇安信天眼检测方案、网站应用安全云防护系统、网神网络数据传感器系统产品检测方案等已经能够有效检测针对该漏洞的攻击，并给出了相应的升级方法。

正文

请到「今天看啥」查看全文

已公开

技术细节状态

已公开

危害描述： 未授权的攻击者可以通过此接口执行任意命令获取服务器权限，从而造成数据泄露、服务器被接管等严重的后果。

0 1

漏洞详情

> > > >

影响组件

CyberPanel是一个开源的Web控制面板，它提供了一个用户友好的界面，用于管理网站、电子邮件、数据库、FTP账户等。CyberPanel旨在简化网站管理任务，使非技术用户也能轻松管理自己的在线资源。

> > > >

漏洞描述

近日，奇安信CERT监测到官方修复 CyberPanel upgrademysqlstatus 远程命令执行漏洞(QVD-2024-44346) ，该漏洞源于upgrademysqlstatus接口未做身份验证和参数过滤，未授权的攻击者可以通过此接口执行任意命令获取服务器权限，从而造成数据泄露、服务器被接管等严重的后果。 目前该漏洞技术细节与EXP已在互联网上公开， 鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

02

影响范围

请到「今天看啥」查看全文