Aapanel · Aapanel · CVE-2021-37840
**Nome do software vulnerável e versões afetadas:
aaPanel versões 6.8.12 e anteriores
Descrição:
A vulnerabilidade envolve o Cross-Site WebSocket Hijacking (CSWH), em que um invasor pode executar comandos do sistema operacional dentro de mensagens WebSocket em uma URL ws:// para /webssh. Isso pode ocorrer se a vítima tiver configurado o Terminal com pelo menos um host. O sucesso da exploração depende do navegador utilizado pela vítima em potencial; há exemplos de exploração bem-sucedida no Firefox, mas não no Chrome.
Recomendações:
Para as versões 6.8.12 e anteriores, considere desativar o recurso /webssh até que um patch esteja disponível para prevenir possíveis ataques de Cross-Site WebSocket Hijacking (CSWH). Restrinja o acesso à configuração do Terminal para minimizar o risco de exploração. Evite usar navegadores suscetíveis a esse tipo de ataque, como o Firefox, ao acessar as versões vulneráveis do aaPanel.