Refr4G

**Nome do software vulnerável e versões afetadas** Versões do CyberPanel anteriores à 1c0c6cb Versões do CyberPanel até a 2.3.6 Versão 2.3.7 do CyberPanel **Descrição** O problema está relacionado a permissões padrão incorretas no CyberPanel, permitindo que invasores remotos contornem a autenticação e executem comandos arbitrários via `/dns/getresetstatus` ou `/ftp/getresetstatus`, contornando o secMiddleware e utilizando metacaracteres de shell na propriedade `statusfile`. Essa vulnerabilidade já foi explorada em ambiente real, com mais de 880 mil serviços identificados como vulneráveis. Estima-se que mais de 22 mil servidores tenham sido alvo de um ataque massivo de ransomware. **Recomendações** Para versões do CyberPanel anteriores à 1c0c6cb, atualize para uma versão posterior à 1c0c6cb para resolver o problema. Para versões do CyberPanel até a 2.3.6, atualize para uma versão posterior à 2.3.6 para resolver o problema. Para a versão 2.3.7 do CyberPanel, aplique os patches ou atualizações necessários para resolver o problema. Como solução temporária, considere desativar a função `getresetstatus` em `dns/views.py` e `ftp/views.py` até que um patch esteja disponível. Restrinja o acesso aos endpoints vulneráveis `/dns/getresetstatus` e `/ftp/getresetstatus` para minimizar o risco de exploração. Evite usar a propriedade `statusfile` nos endpoints da API afetados até que o problema seja resolvido.