Control Web Panel漏洞将允许黑客针对Linux服务器展开远程程序攻击
Linux开源面板Control Web Panel近期修补两项安全漏洞,通报该漏洞的资安业者Octagon Networks对外公布漏洞信息
![Control Web Panel漏洞将允许黑客针对Linux服务器展开远程程序攻击](https://www.gameducky.com/wp-content/themes/justnews/themer/assets/images/lazy.png)
资安业者Octagon Networks近日公开了两个Linux开源面板Control Web Panel(原名CentOS Web Panel,CWP)的安全漏洞,骇客若串连这两个漏洞将可对Linux服务器执行远程程序攻击,不过,CWP的维护者已于本月中旬修补了相关漏洞。
CWP为一采用网页界面的控制面板,多半用来部署及管理网页代管环境,支持CentOS、Rocky Linux、Alma Linux及Oracle Linux等平台,估计全球至少有20万台服务器采用CWP。
发现CVE-2021-45467及CVE-2021-45466这两个CWP漏洞的,为Octagon的研究人员Paulos Yibelo,其中,CVE-2021-45467属于文件包含漏洞,将允许黑客注册原本受到限制的API密钥,CVE-2021-45466则为文件写入漏洞。
Octagon公布了相关漏洞的开采程序,他们先传送一个空字符(Null Byte)的文件包含酬载以添增恶意的API密钥,再藉由CVE-2021-45466漏洞以密钥写入文件,最后透过CVE-2021-45467漏洞于第一个步骤中包含刚写入的文件,即可成功执行远程程序攻击。
Octagon也打算在大多数的服务器都进行版本更新之后,释出完整的概念性验证攻击程序。
赞 (0)
打赏
微信扫一扫
![微信扫一扫](https://www.gameducky.com/wp-content/uploads/2021/12/2021122203132290.jpg)