【漏洞通告】Control Web Panel文件包含漏洞 (CVE-2021-45467)
发布时间 2022-01-240x00 漏洞概述
2022 年 1 月 22 日,研究人员披露了Control Web Panel中2个漏洞的详细信息,分别为:文件包含漏洞 (CVE-2021-45467)和文件写入漏洞 (CVE-2021-45466)。
0x01 漏洞详情
Control Web Panel(CWP,以前是CentOS Web Panel),是一个开源的Linux控制面板软件,用于部署虚拟主机环境,并被超过20万台服务器使用。
研究人员本次披露的2个漏洞能够以root身份执行完整的预认证RCE,如下:
Control Web Panel文件包含漏洞 (CVE-2021-45467)
Control Web Panel文件写入漏洞 (CVE-2021-45466)
具体来说,当应用程序中使用的两个无需身份验证即可访问的PHP页面"/user/login.php "和"/user/index.php"未能充分验证一个脚本文件的路径时,将导致文件包含漏洞,成功利用此漏洞的攻击者不但能够访问受限制的 API 端点,还可以与任意文件写入漏洞 ( CVE-2021-45466 ) 结合使用,可在服务器上实现远程代码执行。
0x02 处置建议
目前这些漏洞已经修复,建议受影响用户及时升级更新到最新版本CWP7: 0.9.8.1120。
下载链接:
https://control-webpanel.com/changelog
0x03 参考链接
https://control-webpanel.com/changelog
https://octagon.net/blog/2022/01/22/cve-2021-45467-cwp-centos-web-panel-preauth-rce/
https://thehackernews.com/2022/01/critical-bugs-in-control-web-panel.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45466
0x04 更新版本
版本 | 日期 | 修改内容 |
V1.0 | 2022-01-24 | 首次发布 |
0x05 附录
公司简介
启明星辰公司成立于1996年,并于2010年6月23日在深交所中小板正式挂牌上市,是国内极具实力的、拥有完全自主知识产权的网络安全产品、可信安全管理平台、安全服务与解决方案的综合提供商。
公司总部位于北京市中关村软件园,在全国各省、市、自治区设有分支机构,拥有覆盖全国的渠道体系和技术支持中心,并在北京、上海、成都、广州、长沙、杭州等多地设有研发中心。
多年来,启明星辰致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务,帮助客户全面提升其IT基础设施的安全性和生产效能,为打造和提升国际化的民族信息安全产业领军品牌而不懈努力。
关于我们
启明星辰安全应急响应中心主要针对重要安全漏洞的预警、跟踪和分享全球最新的威胁情报和安全报告。
关注以下公众号,获取全球最新安全资讯:
京公网安备11010802024551号