PT-2024-9697 · Unknown · Cyberpanel
Thottysploity
·
Publicado
2024-10-30
·
Atualizado
2025-09-05
·
CVE-2024-53376
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do CyberPanel anteriores à 2.3.8
Descrição
A vulnerabilidade existe devido à falta de medidas para neutralizar elementos especiais, permitindo que um invasor remoto execute comandos arbitrários usando uma solicitação HTTP OPTIONS especialmente criada. Isso pode ser feito explorando metacaracteres de shell no campo
phpSelection do URI “websites/submitWebsiteCreation”. Estima-se que mais de 870.000 serviços estejam potencialmente afetados.Recomendações
Para versões anteriores à 2.3.8, atualize para a versão 2.3.8 ou posterior para resolver o problema.
Como solução temporária, considere restringir o acesso ao campo
phpSelection na URI “websites/submitWebsiteCreation” até que um patch esteja disponível.Evite usar o campo
phpSelection no endpoint da API afetado até que o problema seja resolvido.Exploit
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cyberpanel