长亭百川云

严重

CyberPanel upgrademysqlstatus 远程命令执行漏洞

披露时间:
2024-10-28
更新时间:
2024-10-29
CT 编号
CT-1476024
CVE 编号
N/A
CNVD 编号
N/A
CNNVD 编号
N/A
原理分类
远程命令执行
漏洞评分
9.8

漏洞描述

该漏洞利用了 upgrademysqlstatus API 中的参数处理方式不当,允许未经认证的攻击者通过构造特殊请求将恶意命令注入到 statusfile 字段中。在缺乏充分的输入验证和过滤的情况下,攻击者的输入被直接用于系统命令的执行,最终导致远程命令执行漏洞的产生。

漏洞危害

可能导致攻击者在服务器上执行任意命令,获取敏感数据、破坏系统文件、窃取用户凭证、进行拒绝服务攻击等。此外,攻击者还可能利用该漏洞进行权限提升,进一步控制整个服务器或网络。

修复方法

升级修复方案

  1. 在确保业务不受影响的前提下,可暂时拦截对 /dataBases/upgrademysqlstatus 接口的访问请求。

  2. 限制访问来源地址,如非必要,不要将系统开放在互联网上。

临时缓解方案

CyberPanel 官方已发布升级版本,可前往官方github页面(https://github.com/usmannasir/cyberpanel/tree/v2.3.7)下载使用。

评分维度

长亭安全产品覆盖情况

雷池(SafeLine)下一代Web应用防火墙
洞鉴(X-Ray)安全评估系统
云图(Cloud Atlas)攻击面管理运营平台
牧云(CloudWalker) 主机安全管理平台
全悉(T-ANSWER)高级威胁分析预警系统
谛听(D-Sensor) 伪装欺骗系统

漏洞时间线

  • 漏洞披露

    2024-10-28

  • 漏洞信息更新

    2024-10-29

关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2