Linux Control Web Panel元件爆兩項RCE漏洞

Octagon Networks研究人員近日發現Linux Control Web Panel兩項重大安全漏洞,可對Linux伺服器發動遠端程式碼執行(remote code execution)攻擊。

Octagon Networks研究人員近日發現Linux Control Web Panel兩項重大安全漏洞,可對Linux伺服器發動遠端程式碼執行(remote code execution)攻擊。

Control Web Panel(CWP),原名CentOS Web Panel,是很多人愛用的開源Linux伺服器控制台及VPS (Virtual Private Server)軟體,讓管理員很方便管理網頁代管環境。但Octagon Networks研究人員Paulos Yibelo發現CWP的兩項漏洞,包括CVE-2021-45467檔案內含漏洞及CVE-2021-45466任意檔案寫入漏洞。攻擊者可串聯這2款漏洞而在Linux伺服器上執行遠端程式碼。

研究人員解釋,一般情形下Linux 環境下API是受到保護的,使用者必須要有API金鑰才能存取API,以避免於webroot攻擊。但他發現CWP多個PHP網頁App出現漏洞,像是/user/loader.php and /user/index.php及/user/index.php未能妥善驗證呼叫中的檔案存取路徑。這表示,攻擊者只要修改呼叫的include宣告,就可以遠端注入惡意程式碼到Linux伺服器上執行。

有趣的是,雖然App的保護機制可防止惡意呼叫存取主目錄,但這時卻仍允許PHP解譯器接受改寫過的字串而得以繞過內建的驗證控管,此為第一項漏洞。這不但讓攻擊者得以存取受保護的API端點,還能結合第二項漏洞– CVE-2021-45466任意檔案寫入漏洞,而在Linux伺服器上遠端執行程式碼。

CWP維護單位在接獲通報後已經修補這兩項漏洞,並於本周釋出安全更新

來源: Security Affairs

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416