【漏洞通告】1Panel 未授权访问漏洞（CVE-2024-27288）

2024年3月9日14:24:43评论32 views字数 785阅读2分37秒阅读模式

一、漏洞概述

漏洞名称	1Panel未授权访问漏洞
CVE ID	CVE-2024-27288
漏洞类型	未授权访问	发现时间	2024-03-08
漏洞评分	6.3	漏洞等级	中危
攻击向量	网络	所需权限	无
利用难度	低	用户交互	需要
PoC/EXP	已公开	在野利用	未知

1Panel是一个开源的Linux服务器运维管理面板。

2024年3月8日，启明星辰VSRC监测到1Panel中修复了一个未授权访问漏洞（CVE-2024-27288），其CVSS评分为6.3，目前该漏洞的利用细节已公开。

1Panel 1.10.0-lts及之前版本中存在未授权访问漏洞，威胁者可恶意操纵请求在未经身份验证的情况下访问控制台页面，成功利用该漏洞可能导致信息泄露。

二、漏洞复现

【漏洞通告】1Panel 未授权访问漏洞（CVE-2024-27288）

三、影响范围

1Panel <= 1.10.0-lts

四、安全措施

4.1 升级版本

目前该漏洞已经修复，受影响用户可升级到1Panel 版本1.10.1-lts。

下载链接：

https://github.com/1Panel-dev/1Panel/releases

4.2 临时措施

暂无。

4.3 通用建议

定期更新系统补丁，减少系统漏洞，提升服务器的安全性。

加强系统和网络的访问控制，修改防火墙策略，关闭非必要的应用端口或服务，减少将危险服务（如SSH、RDP等）暴露到公网，减少攻击面。

使用企业级安全产品，提升企业的网络安全性能。

加强系统用户和权限管理，启用多因素认证机制和最小权限原则，用户和软件权限应保持在最低限度。

启用强密码策略并设置为定期修改。

4.4 参考链接

https://github.com/1Panel-dev/1Panel/security/advisories/GHSA-26w3-q4j8-4xjp

https://1panel.cn/

原文始发于微信公众号（启明星辰安全简讯）：【漏洞通告】1Panel 未授权访问漏洞（CVE-2024-27288）

左青龙
微信扫一扫

右白虎
微信扫一扫

【漏洞通告】1Panel 未授权访问漏洞（CVE-2024-27288）

二、漏洞复现

三、影响范围

四、安全措施

4.1 升级版本

4.2 临时措施

4.3 通用建议

4.4 参考链接

CVE-2024-4040

Craft CMS 远程代码执行漏洞复现（附nuclei POC）

漏洞预警 | Google Chrome堆缓冲区溢出漏洞

漏洞预警 | GeoNode请求伪造漏洞

漏洞预警 | Docker Desktop增强容器隔离限制绕过漏洞

漏洞预警 | D-Link D-View 8 硬编码密钥漏洞

(CVE-2023-30591) NodeBB 预身份验证拒绝服务

CVE-2023-41081：Apache Tomcat 连接器中的高严重性漏洞

禅道项目管理系统身份认证绕过[漏洞复现]

LiveGBS-save-任意用户添加漏洞复现

发表评论

在线咨询

微信