CVE-2025-34429

Nome do Software Vulnerável e Versões Afetadas Versões do 1Panel de 1.10.33 até 2.0.15

Descrição O software apresenta uma vulnerabilidade de Falsificação de Solicitação Entre Sites (CSRF) na funcionalidade de configuração da porta web. O endpoint port-change não possui proteções contra CSRF, como tokens anti-CSRF ou validação de Origin/Referer. Um atacante pode criar uma página web maliciosa que submete uma solicitação de alteração de porta. Se um usuário visitar esta página web enquanto estiver autenticado, seu navegador enviará cookies de sessão válidos, permitindo que a solicitação seja concluída com sucesso. Isso permite que um atacante modifique a porta utilizada pelo serviço web do 1Panel, potencialmente interrompendo o serviço ou causando uma negação de serviço, e possivelmente expondo o serviço em uma porta selecionada pelo atacante.

Recomendações Atualize o 1Panel para uma versão superior a 2.0.15.