CVE-2026-34216

Nome do Software Vulnerável e Versões Afetadas CtrlPanel versões anteriores a 1.2.0

Descrição Um usuário autenticado com nível de administrador pode alcançar a Execução Remota de Código ao fornecer um nome de classe arbitrário disponível no Composer autoloader. O endpoint de atualização de configurações do administrador aceita um nome de classe totalmente qualificado a partir de a entrada fornecida pelo usuário e o utiliza para chamadas de métodos estáticos dinâmicos e instanciação de objetos sem validação de lista de permissões. Especificamente, o método update() lê a variável settings class da requisição HTTP e a passa para new $settings class() e $settings class::getValidations(). Isso permite a instanciação de qualquer classe carregável no aplicativo ou em suas dependências, potencialmente desencadeando efeitos colaterais indesejados por meio de construtores ou métodos mágicos como construct, toString ou wakeup, seguindo um padrão de injeção de objeto PHP.

Recomendações Atualizar para a versão 1.2.0.