严重
CyberPanel upgrademysqlstatus 远程命令执行漏洞
披露时间:
2024-10-28
更新时间:
2024-10-29
CT 编号
CT-1476024
CVE 编号
N/A
CNVD 编号
N/A
CNNVD 编号
N/A
原理分类
远程命令执行
漏洞评分
9.8
漏洞描述
该漏洞利用了 upgrademysqlstatus API 中的参数处理方式不当,允许未经认证的攻击者通过构造特殊请求将恶意命令注入到 statusfile 字段中。在缺乏充分的输入验证和过滤的情况下,攻击者的输入被直接用于系统命令的执行,最终导致远程命令执行漏洞的产生。
漏洞危害
可能导致攻击者在服务器上执行任意命令,获取敏感数据、破坏系统文件、窃取用户凭证、进行拒绝服务攻击等。此外,攻击者还可能利用该漏洞进行权限提升,进一步控制整个服务器或网络。
修复方法
升级修复方案
-
在确保业务不受影响的前提下,可暂时拦截对 /dataBases/upgrademysqlstatus 接口的访问请求。
-
限制访问来源地址,如非必要,不要将系统开放在互联网上。
临时缓解方案
CyberPanel 官方已发布升级版本,可前往官方github页面(https://github.com/usmannasir/cyberpanel/tree/v2.3.7)下载使用。
评分维度
长亭安全产品覆盖情况
雷池(SafeLine)下一代Web应用防火墙
洞鉴(X-Ray)安全评估系统
云图(Cloud Atlas)攻击面管理运营平台
牧云(CloudWalker) 主机安全管理平台
全悉(T-ANSWER)高级威胁分析预警系统
谛听(D-Sensor) 伪装欺骗系统
漏洞时间线
漏洞披露
2024-10-28
漏洞信息更新
2024-10-29
