CyberPanel远程命令执行漏洞

CyberPanel是一个基于OpenLiteSpeed的Web托管控制面板，它提供了直观的用户界面和简单易用的操作方式，使得用户可以轻松管理自己的网站和服务器。

2024年10月28日，启明星辰集团VSRC监测到CyberPanel中存在一个远程命令执行漏洞。由于upgrademysqlstatus接口缺乏适当的身份验证检查以及对statusfile参数的输入验证和清理，未经身份验证的攻击者可构造特制请求将恶意命令注入到 statusfile 参数字段，利用该漏洞远程执行任意命令，成功利用可能导致数据泄露或执行未授权操作。

二、影响范围

CyberPanel v2.3.5

CyberPanel v2.3.6

三、安全措施

3.1 升级版本

目前官方已发布更新版本，受影响用户可升级到CyberPanel v2.3.7或更高版本。

下载链接：

https://github.com/usmannasir/cyberpanel/tree/v2.3.7

3.2 临时措施

若非必要，不将系统暴露在公共互联网上。

可通过拦截对/dataBases/upgrademysqlstatus接口的访问请求，或将其限制为仅允许受信来源访问。

3.3 通用建议

定期更新系统补丁，减少系统漏洞，提升服务器的安全性。

加强系统和网络的访问控制，修改防火墙策略，关闭非必要的应用端口或服务，减少将危险服务（如SSH、RDP等）暴露到公网，减少攻击面。

使用企业级安全产品，提升企业的网络安全性能。

加强系统用户和权限管理，启用多因素认证机制和最小权限原则，用户和软件权限应保持在最低限度。

启用强密码策略并设置为定期修改。

3.4 参考链接

https://dreyand.rs/code/review/2024/10/27/what-are-my-options-cyberpanel-v236-pre-auth-rce

https://github.com/usmannasir/cyberpanel

原文始发于微信公众号（启明星辰安全简讯）：【漏洞通告】CyberPanel远程命令执行漏洞