CVE-2025-48703

Nome do Software Vulnerável e Versões Afetadas Versões do Control Web Panel (CWP) anteriores à 0.9.8.1205

Descrição O CWP (também conhecido como CentOS Web Panel) é suscetível a uma vulnerabilidade de execução remota de código não autenticada. Um atacante com um nome de usuário válido e não root pode explorar essa falha para executar comandos de shell arbitrários no servidor. A vulnerabilidade reside no módulo filemanager, especificamente na requisição changePerm, onde o parâmetro t total não possui validação de entrada suficiente. Isso permite que um atacante injete metacaracteres de shell no parâmetro, resultando na execução de comandos. A vulnerabilidade tem sido ativamente explorada na natureza, com relatos de mais de 1,8 milhão de instâncias potencialmente vulneráveis. O endpoint vulnerável é /admin/loader ajax.php?ajax=filemanager&acc=changePerm, e o parâmetro vulnerável é t total. A vulnerabilidade permite que atacantes executem comandos manipulando o parâmetro t total.

Recomendações Atualize o CWP para a versão 0.9.8.1205 ou superior.