一、漏洞详情
CyberPanel是一个基于OpenLiteSpeed的Web托管控制面板。
近日,监测到CyberPanel中存在一个远程命令执行漏洞(CVE-2024-51567),由于upgrademysqlstatus接口缺乏适当的身份验证检查以及对statusfile参数的输入验证和清理,未经身份验证的攻击者可构造特制请求将恶意命令注入到statusfile参数字段,利用该漏洞远程执行任意命令,成功利用可能导致数据泄露或执行未授权操作。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
CyberPanel v2.3.6
三、修复建议
目前官方已发布更新版本,受影响用户可升级到CyberPanel v2.3.7或更高版本。
