PT-2026-38670 · Unknown+1 · Control Web Panel+2
Publicado
2026-05-08
·
Atualizado
2026-05-26
·
CVE-2025-67888
CVSS v3.1
7.3
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L |
Nome do Software Vulnerável e Versões Afetadas
Control Web Panel (CWP) versões anteriores a 0.9.8.1209
Descrição
Atacantes não autenticados podem injetar e executar comandos arbitrários do sistema operacional com privilégios de root no servidor web. Isso ocorre porque a entrada do usuário fornecida através do parâmetro GET
key no endpoint '/admin/index.php' não é devidamente sanitizada quando o parâmetro api está definido. Este problema requer a presença do Softaculous ou SitePad.Recomendações
Atualize para a versão 0.9.8.1209 ou posterior.
Exploit
Correção
RCE
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Control Web Panel
Sitepad
Softaculous