CVE-2025-30206

Nome do Software Vulnerável e Versões Afetadas Versões do Dpanel anteriores à 1.6.1

Descrição O serviço Dpanel contém um segredo JWT hardcoded em sua configuração padrão, permitindo que atacantes gerem tokens JWT válidos e comprometam a máquina host. Esta falha de segurança permite que atacantes analisem o código-fonte, descubram o segredo embutido e criem tokens JWT legítimos. Ao forjar esses tokens, um atacante pode contornar com sucesso os mecanismos de autenticação, assumir a identidade de usuários privilegiados e obter acesso administrativo não autorizado. Este problema pode levar a consequências graves, como exposição de dados sensíveis, execução de comandos não autorizada, escalonamento de privilégios ou movimento lateral adicional dentro do ambiente de rede.

Recomendações Para versões anteriores à 1.6.1, atualize para a versão 1.6.1 para resolver o problema. Como solução temporária, considere substituir o segredo hardcoded por um valor gerado de forma segura e carregue-o a partir de um armazenamento de configuração seguro.