Centos Web Panel
Уязвимости
7
Эксплуатируемые
1
Макс. CVSS
9.8
Макс. EPSS
0.99589
Распределение по критичности
Критический
2
Высокий
1
Средний
4
Низкий
0
Затронутые диапазоны версий
< 0.9.8.1205
Также сопоставлено как (исходные строки): centos_web_panel
Топ уязвимостей
CVE-2020-15609Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на затронутых установках CentOS Web Panel cwp-e17.0.9.8.923. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретная ошибка существует в файле ajax_dashboard.php. При анализе параметра service_stop процесс неправильно проверяет предоставленную пользователем строку перед ее использованием для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. Идентифицирована как ZDI-CAN-9726.
CVE-2025-48703Панель управления CentOS Web Panel (CWP) до версии 0.9.8.1205 позволяет выполнять неавторизованное удаленное выполнение кода через специальные метасимволы оболочки в параметре t_total в запросе changePerm менеджера файлов. Для эксплуатации уязвимости необходимо знать действительное имя пользователя, не являющегося root [1]. Уязвимость связана с обходом аутентификации и инъекцией команд в параметр t_total, используемый в системной команде chmod. Злоумышленник может отправить POST-запрос без идентификатора пользователя и выполнить произвольные команды на сервере. Уязвимость была исправлена в версии 0.9.8.1205 в июне 2025 года [1].
Источники:
- [1] https://fenrisk.com/rce-centos-webpanel
CVE-2019-13386В CentOS-WebPanel.com (также известном как CWP) CentOS Web Panel 0.9.8.846 скрытая функция action=9 в filemanager2.php позволяет злоумышленникам выполнять команду оболочки, то есть получать обратную оболочку с привилегиями пользователя.
CVE-2019-14246В CentOS-WebPanel.com (aka CWP) CentOS Web Panel 0.9.8.851 небезопасная ссылка на объект позволяет злоумышленнику обнаруживать пароли phpMyAdmin (любого пользователя в /etc/passwd) через учетную запись злоумышленника.
CVE-2019-14245В CentOS-WebPanel.com (aka CWP) CentOS Web Panel 0.9.8.851 небезопасная ссылка на объект позволяет злоумышленнику удалять базы данных (такие как oauthv2) с сервера через учетную запись злоумышленника.
CVE-2019-10893CentOS-WebPanel.com (также известный как CWP) CentOS Web Panel 0.9.8.793 (бесплатная/версия с открытым исходным кодом) и 0.9.8.753 (Pro) уязвим для хранимого/постоянного XSS для полей электронной почты администратора на экране "CWP Settings > "Edit Settings". Изменив идентификатор электронной почты на любой XSS Payload и нажав на Save Changes, XSS Payload будет выполнен.
CVE-2019-10261CentOS Web Panel (CWP) 0.9.8.789 уязвим для Stored/Persistent XSS для полей "Name Server 1" и "Name Server 2" через действие "DNS Functions" "Edit Nameservers IPs".