CVE-2026-34233

Nome do Software Vulnerável e Versões Afetadas CtrlPanel versões anteriores a 1.2.0

Descrição Múltiplos controladores administrativos expõem endpoints DataTable que carecem de verificações de autorização. Isso permite que qualquer usuário autenticado, independentemente de sua função atribuída, acesse dados administrativos sensíveis por meio de requisições GET. Embora essas rotas utilizem o prefixo '/admin/', o middleware associado não impõe permissões de nível administrativo nas funções datatable(). Isso pode levar à exposição de informações de identificação pessoal (PII) de usuários, registros de pagamentos e transações, códigos de vouchers e cupons ativos, estrutura de funções e permissões, mapeamentos de propriedade de servidores e conteúdo de tickets de suporte.

Recomendações Atualizar para a versão 1.2.0.