CVE-2021-37840

**Nome do software vulnerável e versões afetadas:

aaPanel versões 6.8.12 e anteriores

Descrição:

A vulnerabilidade envolve o Cross-Site WebSocket Hijacking (CSWH), em que um invasor pode executar comandos do sistema operacional dentro de mensagens WebSocket em uma URL ws:// para /webssh. Isso pode ocorrer se a vítima tiver configurado o Terminal com pelo menos um host. O sucesso da exploração depende do navegador utilizado pela vítima em potencial; há exemplos de exploração bem-sucedida no Firefox, mas não no Chrome.

Recomendações:

Para as versões 6.8.12 e anteriores, considere desativar o recurso /webssh até que um patch esteja disponível para prevenir possíveis ataques de Cross-Site WebSocket Hijacking (CSWH). Restrinja o acesso à configuração do Terminal para minimizar o risco de exploração. Evite usar navegadores suscetíveis a esse tipo de ataque, como o Firefox, ao acessar as versões vulneráveis do aaPanel.