投稿
  1. 谷达鸭首页
  2. 投稿

Control Web Panel漏洞将允许黑客针对Linux服务器展开远程程序攻击

Expreview超能网 投稿

Linux开源面板Control Web Panel近期修补两项安全漏洞,通报该漏洞的资安业者Octagon Networks对外公布漏洞信息

Control Web Panel漏洞将允许黑客针对Linux服务器展开远程程序攻击

资安业者Octagon Networks近日公开了两个Linux开源面板Control Web Panel(原名CentOS Web Panel,CWP)的安全漏洞,骇客若串连这两个漏洞将可对Linux服务器执行远程程序攻击,不过,CWP的维护者已于本月中旬修补了相关漏洞。

CWP为一采用网页界面的控制面板,多半用来部署及管理网页代管环境,支持CentOS、Rocky Linux、Alma Linux及Oracle Linux等平台,估计全球至少有20万台服务器采用CWP。

发现CVE-2021-45467及CVE-2021-45466这两个CWP漏洞的,为Octagon的研究人员Paulos Yibelo,其中,CVE-2021-45467属于文件包含漏洞,将允许黑客注册原本受到限制的API密钥,CVE-2021-45466则为文件写入漏洞。

Octagon公布了相关漏洞的开采程序,他们先传送一个空字符(Null Byte)的文件包含酬载以添增恶意的API密钥,再藉由CVE-2021-45466漏洞以密钥写入文件,最后透过CVE-2021-45467漏洞于第一个步骤中包含刚写入的文件,即可成功执行远程程序攻击。

Octagon也打算在大多数的服务器都进行版本更新之后,释出完整的概念性验证攻击程序。

(0)
打赏 微信扫一扫 微信扫一扫
Expreview超能网Expreview超能网认证作者
0 0

相关推荐

发表评论

登录后才能评论