Cyberpanel
Уязвимости
9
Эксплуатируемые
2
Макс. CVSS
9.8
Макс. EPSS
0.94878
Распределение по критичности
Критический
3
Высокий
3
Средний
3
Низкий
0
Затронутые диапазоны версий
< 2.3.5< 2.3.8< 2.4.4< 2024-11-11≤ 1.8.4≤ 2.3.7
Также сопоставлено как (исходные строки): cyberpanel
Топ уязвимостей
CVE-2024-51568CyberPanel (aka Cyber Panel) до 2.3.5 допускает внедрение команд через completePath в приемнике ProcessUtilities.outputExecutioner(). Существует /filemanager/upload (aka File Manager upload) неаутентифицированное удаленное выполнение кода через метасимволы оболочки.
CVE-2024-51567upgrademysqlstatus в databases/views.py в CyberPanel (aka Cyber Panel) до 5b08cd6 позволяет удаленным злоумышленникам обходить аутентификацию и выполнять произвольные команды через /dataBases/upgrademysqlstatus, обходя secMiddleware (который предназначен только для POST-запроса) и используя метасимволы оболочки в свойстве statusfile, как это было использовано в дикой природе в октябре 2024 года PSAUX. Затронуты версии до 2.3.6 и (неисправленные) 2.3.7.
CVE-2024-51378getresetstatus в dns/views.py и ftp/views.py в CyberPanel (aka Cyber Panel) до 1c0c6cb позволяет удаленным злоумышленникам обходить аутентификацию и выполнять произвольные команды через /dns/getresetstatus или /ftp/getresetstatus, обходя secMiddleware (который предназначен только для POST-запросов) и используя shell-метасимволы в свойстве statusfile, как это было использовано в реальных условиях в октябре 2024 года PSAUX. Уязвимы версии до 2.3.6 и (неисправленная) 2.3.7.
CVE-2026-41473Версии CyberPanel до 2.4.4 содержат уязвимость обхода аутентификации в конечных точках API работника AI Scanner, что позволяет неаутентифицированным удаленным злоумышленникам записывать произвольные данные в базу данных, отправляя запросы на /api/ai-scanner/status-webhook и /api/ai-scanner/callback endpoints. Злоумышленники могут использовать отсутствие проверок аутентификации, чтобы вызвать отказ в обслуживании через исчерпание хранения, поврежденные записи истории сканирования и поля данных о загрязнении с вредоносными данными.
CVE-2024-53376CyberPanel до версии 2.3.8 позволяет удаленным аутентифицированным пользователям выполнять произвольные команды через метасимволы оболочки в поле phpSelection в URI websites/submitWebsiteCreation.
CVE-2019-13056В CyberPanel до версии 1.8.4 обнаружена проблема. На странице редактирования пользователя злоумышленник может изменить электронную почту и пароль администратора из-за отсутствия защиты CSRF.
CVE-2024-54679CyberPanel (aka Cyber Panel) до версии 6778ad1 не требует возможности FilemanagerAdmin для действий restartMySQL.
CVE-2024-56112CyberPanel (он же Cyber Panel) до f0cf648 допускает XSS через токен или имя пользователя в plogical/phpmyadminsignin.php.
CVE-2026-41472Версии CyberPanel до 2.4.4 содержат сохраненную уязвимость сценариев на кросс-сайте в панели управления AI Scanner, где POST /api/ai-scanner/callback endpoint не имеет аутентификации и позволяет неаудовлетворенным злоумышленникам вводить вредоносный JavaScript, перезаписывая поле выводов ScanHistory. Злоумышленники могут вводить JavaScript, который выполняется в аутентифицированном сеансе администратора, когда они посещают панель инструментов AI Scanner, что позволяет им выдавать запросы на одно и то же, чтобы установить вакансии и добиться удаленного выполнения кода на сервере.