Panel
Уязвимости
13
Эксплуатируемые
0
Макс. CVSS
10
Макс. EPSS
0.13105
Распределение по критичности
Критический
2
Высокий
4
Средний
6
Низкий
1
Затронутые диапазоны версий
1.0.0–1.6.2< 0.7.14< 1.11.11< 1.11.6< 1.11.8< 1.12.0< 1.12.1< 1.12.3< 1.6.3< 1.6.6
Также сопоставлено как (исходные строки): panel,wings
Топ уязвимостей
CVE-2025-49132Pterodactyl - это бесплатная панель управления игровым сервером с открытым исходным кодом. До версии 1.11.11, используя /locales/locale.json с параметрами локальной и именной, злоумышленник может выполнять произвольный код без аутентификации. Благодаря возможности выполнения произвольного кода его можно использовать для получения доступа к серверу Группы, считывать учетные данные из конфигурации Группы, извлекать конфиденциальную информацию из базы данных, получать доступ к файлам серверов, управляемых панелью, и т.д. Этот вопрос был исправлен в версии 1.11.11. Для этой уязвимости нет обходных условий программного обеспечения, но использование внешнего брандмауэра веб-приложений (WAF) может помочь смягчить эту атаку.
CVE-2026-26016Wings - это планировка управления сервером для Pterodactyl, бесплатной панели управления игровым сервером с открытым исходным кодом. До версии 1.12.1 недостающая проверка авторизации в нескольких контроллерах позволяет любому пользователю, имеющим доступ к секретному токену узлов, получать информацию о любом сервере в экземпляре птеродактиля, даже если этот сервер связан с другим узлом. Эта проблема связана с отсутствующей логикой для проверки того, что узл, запрашивающий данные сервера, является тем же узлом, с каким связан сервер. Любой аутентифицированный узел Wings может извлекать скрипты установки сервера (потенциально содержащие секретные значения) и манипулировать состоянием установки серверов, принадлежащих другим узлам. Узлы Wings могут также манипулировать состоянием передачи серверов, принадлежащих другим узлам. Эта уязвимость требует, чтобы пользователь приобрел секретный токен доступа для узла. Если пользователь не получит доступ к токену секретного доступа Wings, он не сможет получить доступ к любой из этих уязвимых конечных точек, поскольку каждая конечная точка требует действительного токена доступа к узлу. Один скомпрометированный демонический токен Wings node (хранится в открытом тексте в `/etc/pterodactyl/config.yml`) предоставляет доступ к конфиденциальным данным конфигурации каждого сервера на панели, а не только к серверам, к которым имеет доступ узел. Злоумышленник может использовать эту информацию для перемещения через систему, отправки чрезмерных уведомлений, уничтожения данных сервера на других узлах и иным образом экстрагирования секретов, к которым он не должен иметь доступа только с помощью токена узла. Кроме того, запуск ложного успеха передачи заставляет панель удалять сервер из исходного узла, что приводит к постоянной потере данных. Пользователи должны обновиться до версии 1.12.1, чтобы получить исправление.
CVE-2025-69199Wings - это план контроля сервера для Pterodactyl, бесплатной панели управления игровым сервером с открытым исходным кодом. До версии 1.12.0 веб-сотки в крыльях не имеют правильного ограничения скорости и дросселирования. В результате злоумышленник может открыть большое количество соединений, а затем запросить данные через эти сокеты, вызывая чрезмерный объем данных по сети и перегружая память и процессор системы хостов. Кроме того, не существует ограничения, применяемого к общему размеру отправляемых или получаемых сообщений, что позволяет злонамеренному пользователю открывать тысячи подключений к веб-разъему, а затем отправлять огромные объемы информации по розетке, перегрузки сети хоста и вызывая увеличение нагрузки процессора и памяти в крыльях. Версия 1.12.0 исправляет проблему.
CVE-2021-41129Pterodactyl - это панель управления игровым сервером с открытым исходным кодом, построенная с использованием PHP 7, React и Go. Злоумышленник может изменить содержимое ввода `confirmation_token` во время процесса двухфакторной аутентификации, чтобы сослаться на значение кэша, не связанное с попыткой входа в систему. В редких случаях это может позволить злоумышленнику пройти аутентификацию в качестве случайного пользователя в панели. Злоумышленник должен нацелиться на учетную запись с включенной двухфакторной аутентификацией, а затем должен предоставить правильный токен двухфакторной аутентификации, прежде чем пройти аутентификацию в качестве этого пользователя. Из-за недостатка проверки в логике обработки аутентификации пользователя во время процесса двухфакторной аутентификации злоумышленник может обманом заставить систему загрузить учетные данные для произвольного пользователя, изменив токен, отправленный на сервер. Этот недостаток аутентификации присутствует в методе `LoginCheckpointController@__invoke`, который обрабатывает двухфакторную аутентификацию для пользователя. Этот контроллер ищет входной параметр запроса с именем `confirmation_token`, который, как ожидается, будет 64-символьной случайной буквенно-цифровой строкой, ссылающейся на значение в кэше панели, содержащее значение `user_id`. Это значение затем используется для получения пользователя, который пытался войти в систему, и поиска его токена двухфакторной аутентификации. Из-за конструкции этой системы любой элемент в кэше, содержащий только цифры, может быть использован злоумышленником, и любое значение, хранящееся в этой позиции, будет использоваться в качестве `user_id`. В панели есть несколько разных областей, которые сохраняют значения в кэше, которые являются целыми числами, и пользователь, который определяет, что это за ключи кэша, может передать один из этих ключей, что приведет к тому, что этот путь кода будет ссылаться на произвольного пользователя. По сути, это уязвимость обхода входа в систему с высоким риском. Однако есть несколько дополнительных условий, которые должны быть выполнены для успешного выполнения этого, а именно: 1.) Учетная запись, на которую ссылается вредоносный ключ кэша, должна иметь включенную двухфакторную аутентификацию. Учетная запись без двухфакторной аутентификации вызовет исключение, которое будет запущено логикой аутентификации, таким образом завершая этот поток аутентификации. 2.) Даже если злоумышленник сможет сослаться на действительный ключ кэша, который ссылается на действительную учетную запись пользователя с двухфакторной аутентификацией, он должен предоставить действительный токен двухфакторной аутентификации. Однако из-за конструкции этой конечной точки, как только найдена действительная учетная запись пользователя с включенной двухфакторной аутентификацией, нет никакого ограничения скорости, что позволяет злоумышленнику перебирать комбинации, пока не будет достигнут успех. Это приводит к третьему условию, которое должно быть выполнено: 3.) В течение этой последовательности атак ключ кэша, на который ссылаются, должен продолжать существовать с действительным значением `user_id`. В зависимости от конкретного ключа, используемого для этой атаки, это значение может быстро исчезнуть или быть изменено другими случайными взаимодействиями пользователя на панели, вне контроля злоумышленника. Чтобы смягчить эту уязвимость, базовая логика аутентификации была изменена для использования зашифрованного хранилища сеансов, значение которого пользователь, следовательно, не может контролировать. Это полностью исключило использование значения, контролируемого пользователем. Кроме того, код был проверен, чтобы убедиться, что этот тип уязвимости отсутствует в других местах.
CVE-2025-68954Pterodactyl - это бесплатная панель управления игровым сервером с открытым исходным кодом. Версий 1.1.1.11 и ниже не отменяют активные соединения SFTP, когда пользователь удаляется из экземпляра сервера или имеет изменения в своих разрешениях в отношении доступа к файлам по SFTP. Это позволяет пользователю, который уже был подключен к SFTP, оставаться подключенным и получать доступ к файлам даже после отзыва его разрешений. Пользователь должен быть подключен к SFTP во время отзыва его разрешений, чтобы использовать эту уязвимость. Эта проблема исправлена в версии 1.12.0.
CVE-2019-1020002Pterodactyl до версии 0.7.14 с 2FA позволяет перехватывать учетные данные.
CVE-2025-69197Pterodactyl - это бесплатная панель управления игровым сервером с открытым исходным кодом. Версии 1.11.11 и ниже позволяют использовать TOTP несколько раз во время окна его действия. Пользователям с включенным 2FA предлагается ввести токен во время входа, а после этого он недостаточно помечается, как используется в системе. Это позволяет злоумышленнику, который перехватывает этот токен, использовать его в дополнение к известному имени пользователя / паролю во время 60-секундного окна действительности токена. Злоумышленник должен был перехватить действительный токен 2FA (например, во время обмена экраном). Эта проблема исправлена в версии 1.12.0.
CVE-2024-34067Pterodactyl — это бесплатная панель управления игровым сервером с открытым исходным кодом, созданная на PHP, React и Go. Импорт вредоносного яйца или получение доступа к экземпляру wings может привести к межсайтовому скриптингу (XSS) на панели, который можно использовать для получения учетной записи администратора на панели. В частности, это влияет на следующие элементы: образы Egg Docker и переменные Egg: имя, переменная среды, значение по умолчанию, описание, правила проверки. Кроме того, определенные поля будут отражать вредоносный ввод, но для этого потребуется, чтобы пользователь сознательно ввел такой ввод, чтобы это повлияло. Повторяю, для этого потребуется, чтобы администратор выполнил действия, которые не могут быть запущены обычным пользователем панели. Эта проблема была устранена в версии 1.11.6, и пользователям рекомендуется обновиться. Других обходных путей, кроме обновления до последней версии панели, не существует.
CVE-2025-69198Pterodactyl - это бесплатная панель управления игровым сервером с открытым исходным кодом. Птеродактиля реализует ограничения ставки, которые применяются к общему количеству ресурсов (например, баз данных, распределение портов или резервных копий), которые могут существовать для отдельного сервера. Эти ограничения ресурсов применяются на основе сервера и подтверждаются в течение цикла запроса. Однако в версиях до 1.1.20 злоумышленник может отправлять в то же время огромный объем запросов, которые создавали бы больше ресурсов, чем выделено сервер. Это связано с тем, что валидация происходит на ранней стадии цикла запроса и не блокирует целевой ресурс во время обработки. В результате отправка большого количества запросов одновременно приведет к тому, что все эти запросы будут проверяться как не использующие какие-либо из целевых ресурсов, а затем все создают ресурсы одновременно. В результате сервер сможет создавать больше баз данных, распределений или резервных копий, чем настроено. Вредоносный пользователь может отказывать в ресурсах другим пользователям системы и может чрезмерно потреблять ограниченные ассигнования для узла или заполнять резервное пространство быстрее, чем это разрешено системой. Версия 1.12.0 устраняет проблему.
CVE-2024-49762Pterodactyl - это бесплатная панель управления игровыми серверами с открытым исходным кодом. Когда пользователь отключает двухфакторную аутентификацию через панель, отправляется запрос `DELETE` с его текущим паролем в параметре запроса. Хотя параметры запроса шифруются при использовании TLS, многие веб-серверы (включая те, которые официально задокументированы для использования с Pterodactyl) регистрируют параметры запроса в виде обычного текста, сохраняя пароль пользователя в виде обычного текста. До версии 1.11.8, если злоумышленник получит доступ к этим журналам, он может потенциально аутентифицироваться в учетной записи пользователя, предполагая, что он сможет обнаружить адрес электронной почты или имя пользователя учетной записи отдельно. Эта проблема была исправлена в версии 1.11.8. В настоящее время обходных путей нет. Не существует прямой уязвимости в программном обеспечении, поскольку она относится к журналам, генерируемым промежуточными компонентами, такими как веб-серверы или прокси уровня 7. Обновление до `v1.11.8` или добавление связанного патча вручную - единственный способ избежать этой проблемы. Поскольку эта уязвимость связана с историческим ведением журнала конфиденциальных данных, пользователям, которые когда-либо отключали 2FA на панели (размещенной самостоятельно или управляемой компанией), следует изменить свои пароли и рассмотреть возможность включения 2FA, если она была оставлена отключенной. Хотя маловероятно, что их учетная запись будет скомпрометирована этой уязвимостью, это не невозможно. Администраторам панели следует рассмотреть возможность очистки любых журналов доступа, которые могут содержать конфиденциальные данные.
CVE-2021-41273Pterodactyl - это панель управления игровым сервером с открытым исходным кодом, созданная с использованием PHP 7, React и Go. Из-за неправильно настроенной защиты CSRF на двух маршрутах злоумышленник может выполнить атаку на основе CSRF против следующих конечных точек: отправка тестового электронного письма и создание токена автоматического развертывания узла. Ни в какой момент никакие данные не будут предоставлены злоумышленнику, это просто вызовет рассылку спама по электронной почте административному пользователю или неожиданно сгенерирует один токен автоматического развертывания. Этот токен не раскрывается злоумышленнику, он просто создается неожиданно в системе. Эта проблема была решена в выпуске `1.6.6`. Пользователи могут при желании вручную применить исправления, выпущенные в v1.6.6, для исправления своих собственных систем.
CVE-2021-41176Pterodactyl — это панель управления игровыми серверами с открытым исходным кодом, созданная с использованием PHP 7, React и Go. В уязвимых версиях Pterodactyl злоумышленник может вызвать выход пользователя из системы, если зарегистрированный пользователь посетит вредоносный веб-сайт, отправляющий запрос в конечную точку выхода панели. Это требует целенаправленной атаки на конкретный экземпляр панели и служит только для выхода пользователя из системы. **Никакие данные пользователя не утекают, и никакие пользовательские данные не затрагиваются, это в худшем случае просто раздражает.** Эта проблема устранена в версии 1.6.3.
CVE-2026-35202Pterodactyl - это бесплатная панель управления игровым сервером с открытым исходным кодом. До версии 1.12.3 API Pterodactyl Client имеет логический недостаток, который позволяет пользователям обходить назначенные им пределы для распределения баз данных. Это происходит потому, что механизм блокировки базы данных, используемый в контроллерах, полностью сломан и на самом деле ничего не блокирует. Версия 1.12.3 исправляет проблему.