CVE-2025-49132

Nome do Software Vulnerável e Versões Afetadas Pterodactyl versões anteriores a 1.11.11

Description Um ator malicioso não autenticado pode executar código arbitrário ao utilizar o endpoint '/locales/locale.json' com os parâmetros de consulta locale e namespace. Esta falha permite o comprometimento total do servidor, incluindo o acesso ao servidor do painel, a leitura de credenciais da configuração (como o arquivo .env), a extração de informações confidenciais do banco de dados (incluindo nomes de usuário, e-mails e senhas hash) e o acesso a arquivos de servidores gerenciados pelo painel. Pesquisadores de segurança e atores maliciosos tentaram explorar este problema após o seu anúncio.

Recommendations Atualize para a versão 1.11.11. Para instalações modificadas que utilizam Git, aplique o patch oficial usando git apply. Como mitigação temporária, utilize um Firewall de Aplicações Web (WAF) externo para bloquear o ataque. Restrinja o acesso ao endpoint '/locales/locale.json' no nível do servidor web, embora isso interrompa as funcionalidades de localização.