CVE-2025-34410

Nome do Software Vulnerável e Versões Afetadas Versões 1.10.33 a 2.0.15 do 1Panel

Descrição As versões 1.10.33 a 2.0.15 do 1Panel são afetadas por uma vulnerabilidade de Falsificação de Solicitação entre Sites (CSRF) na funcionalidade de Alteração de Nome de Usuário, acessível através do painel de configurações no endpoint /settings/panel. O endpoint carece de proteções contra CSRF, como tokens anti-CSRF ou validação de Origin/Referer. Um atacante pode criar uma página web maliciosa que submete uma solicitação para alterar o nome de usuário de um usuário. Se um usuário autenticado visitar esta página, seu navegador envia cookies de sessão válidos, permitindo que o atacante altere o nome de usuário com sucesso sem o conhecimento do usuário. Isso pode levar ao bloqueio de conta e negação de serviço, pois o usuário não conseguirá fazer login com seu nome de usuário anterior após a alteração.

Recomendações As versões 1.10.33 a 2.0.15 do 1Panel devem ser atualizadas para uma versão que inclua proteções contra CSRF para a funcionalidade de Alteração de Nome de Usuário. Como solução temporária, considere restringir o acesso ao endpoint /settings/panel a redes ou usuários confiáveis.