Origine : bjCSIRT
Numéro : 2024/ALERTE/086
Date de l’alerte : 11/12/2024
APERÇU :
Une vulnérabilité liée à une gestion inadéquate des entrées dans CyberPanel permettrait à un acteur malveillant d’exécuter des commandes arbitraires dans les systèmes affectés.
DESCRIPTION :
CyberPanel est une console d’administration de serveurs pour les systèmes d’exploitation Ubuntu et CentOS 7.x. Il permet aux utilisateurs de surveiller et d’administrer facilement leurs serveurs.
Ce service est affecté par une vulnérabilité libellée CVE-2024-51378. Cette vulnérabilité résulte d’une gestion inadéquate des entrées utilisateur dans les fonctions getresetstatus des fichiers dns/views.py et ftp/views.py dudit service. En contournant les protections de secMiddleware et en injectant des caractères spéciaux dans le paramètre statusfile, un acteur malveillant pourrait contourner l’authentification et exécuter des commandes arbitraires sur le système. Cela pourrait conduire à un accès non autorisé aux ressources du système.
Cette vulnérabilité est classée critique avec un score de sévérité de 10.0 selon le CVSS :3.1.
IMPACT :
- Atteinte à la confidentialité ;
- Compromission du système.
SYSTÈMES AFFECTÉS :
Les versions de CyberPanel antérieur à la version 2.3.8
MESURES À PRENDRE :
Mettre à jour CyberPanel vers sa version 2.3.8
RÉFÉRENCES :