点击蓝字 关注我们
漏洞介绍
CyberPanel 是基于 (Open) LiteSpeed 开发的多用户管理的控制面板。
2024年10月,互联网上披露CyberPanel 远程命令执行漏洞,攻击者可在无需登录的情况下在目标服务器执行任意命令,控制服务器。
影响版本
CyberPanel v2.3.6
注意这里使用的漏洞复现环境为临时公网搭建环境,稍后会进行关闭处理。
先获取目标的csrftoken
然后携带csrftoken去请求触发命令执行。请求方法选择OPTIONS/PUT/PATCH 等,只要不是POST就行了。
编写Nuclei检测规则。
漏洞分析
修复提交记录:
https://github.com/usmannasir/cyberpanel/commit/5b08cd6d53f4dbc2107ad9f555122ce8b0996515
根据提交的记录也很明显的看出来,这里少了鉴权的机制,并且后续也是通过读取请求体的字符串进行json处理后执行了命令。这里可以构造触发未授权命令执行漏洞。
但是在之前有一个过滤处理的过程,总体来说就是对POST的内容进行了检查处理。但是根据上面获取参数的方法来判断,并没有规定必须是post请求。所以可以通过OPTIONS/PUT/PATCH 等绕过这个检查。
具体的详细分析可以参考下原作者的文章:
https://dreyand.rs/code/review/2024/10/27/what-are-my-options-cyberpanel-v236-pre-auth-rce
里面有详细的漏洞分析还有一些其他的分析过程。
参考链接
-
https://dreyand.rs/code/review/2024/10/27/what-are-my-options-cyberpanel-v236-pre-auth-rce
-
https://github.com/usmannasir/cyberpanel/commit/5b08cd6d53f4dbc2107ad9f555122ce8b0996515
-
https://avd.aliyun.com/detail?id=AVD-2024-1757649
原文始发于微信公众号(天启实验室):CyberPanel (CVE-2024-51567) 远程命令执行漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论