nvd

Control-webpanel

Уязвимости

Эксплуатируемые

Критический

Высокий

Топ продуктов

Топ уязвимостей

CVE-2023-42121Уязвимость удаленного выполнения кода Missing Authentication в Control Web Panel. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на уязвимых установках Control Web Panel. Для эксплуатации этой уязвимости не требуется аутентификация. Конкретный недостаток существует в реализации аутентификации в веб-интерфейсе. Проблема возникает из-за отсутствия аутентификации перед предоставлением доступа к функциональности. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте допустимого пользователя CWP. Ранее ZDI-CAN-20582.

CVE-2022-44877login/index.php в CWP (также известном как Control Web Panel или CentOS Web Panel) 7 до версии 0.9.8.1147 позволяет удаленным злоумышленникам выполнять произвольные команды ОС через метасимволы оболочки в параметре login.

CVE-2022-25046Уязвимость обхода пути в loader.php CWP v0.9.8.1122 позволяет злоумышленникам выполнять произвольный код через специально созданный POST-запрос.

CVE-2021-45467В CWP (также известном как Control Web Panel или CentOS Web Panel) до версии 0.9.8.1107 не прошедший проверку подлинности злоумышленник может использовать %00 байты, чтобы заставить /user/loader.php зарегистрировать произвольный ключ API, как показано в URI /user/loader.php?api=1&scripts= .%00./.%00./api/account_new_create&acc=guadaapi. Можно использовать любое количество экземпляров %00, например, .%00%00%00./.%00%00%00./api/account_new_create также можно использовать для параметра scripts.

CVE-2021-45466В CWP (также известном как Control Web Panel или CentOS Web Panel) до версии 0.9.8.1107 злоумышленники могут сделать специально созданный запрос к api/?api=add_server&DHCP=, чтобы добавить текстовый файл authorized_keys в папку /resources/.

CVE-2021-31324Непривилегированная пользовательская портальная часть CentOS Web Panel подвержена уязвимости внедрения команд, приводящей к удаленному выполнению кода от имени root.

CVE-2021-31316Непривилегированная пользовательская портальная часть CentOS Web Panel подвержена SQL-инъекции через параметр 'idsession' HTTP POST.

CVE-2020-15623Эта уязвимость позволяет удаленным злоумышленникам записывать произвольные файлы на затронутые установки CentOS Web Panel cwp-e17.0.9.8.923. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретная ошибка существует в файле ajax_mod_security.php. При анализе параметра archivo процесс неправильно проверяет предоставленный пользователем путь перед его использованием в файловых операциях. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. Идентифицирована как ZDI-CAN-9722.

CVE-2020-15615Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на затронутых установках CentOS Web Panel cwp-e17.0.9.8.923. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретная ошибка существует в файле ajax_ftp_manager.php. Проблема возникает из-за недостаточной проверки предоставленной пользователем строки перед ее использованием для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. Идентифицирована как ZDI-CAN-9746.

CVE-2020-15614Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на затронутых установках CentOS Web Panel cwp-e17.0.9.8.923. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретная ошибка существует в файле ajax_php_pecl.php. При анализе параметра cha процесс неправильно проверяет предоставленную пользователем строку перед ее использованием для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. Идентифицирована как ZDI-CAN-9718.

CVE-2020-15613Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на затронутых установках CentOS Web Panel cwp-e17.0.9.8.923. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретная ошибка существует в файле ajax_admin_apis.php. При анализе параметра line процесс неправильно проверяет предоставленную пользователем строку перед ее использованием для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. Идентифицирована как ZDI-CAN-9739.

CVE-2020-15612Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на затронутых установках CentOS Web Panel cwp-e17.0.9.8.923. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретная ошибка существует в файле ajax_ftp_manager.php. При анализе параметра userLogin процесс неправильно проверяет предоставленную пользователем строку перед ее использованием для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. Идентифицирована как ZDI-CAN-9737.

CVE-2020-15611Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на затронутых установках CentOS Web Panel cwp-e17.0.9.8.923. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретная ошибка существует в файле ajax_dashboard.php. При анализе параметра service_restart процесс неправильно проверяет предоставленную пользователем строку перед ее использованием для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. Идентифицирована как ZDI-CAN-9734.

CVE-2020-15610Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на затронутых установках CentOS Web Panel cwp-e17.0.9.8.923. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретная ошибка существует в файле ajax_php_pecl.php. При анализе параметра modulo процесс неправильно проверяет предоставленную пользователем строку перед ее использованием для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. Идентифицирована как ZDI-CAN-9728.

CVE-2020-15608Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на затронутых установках CentOS Web Panel cwp-e17.0.9.8.923. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретная ошибка существует в файле ajax_dashboard.php. При анализе параметра ai_service процесс неправильно проверяет предоставленную пользователем строку перед ее использованием для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. Идентифицирована как ZDI-CAN-9724.

CVE-2020-15607Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на затронутых установках CentOS Web Panel cwp-e17.0.9.8.923. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретная ошибка существует в файле ajax_admin_apis.php. При анализе параметра line процесс неправильно проверяет предоставленную пользователем строку перед ее использованием для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. Идентифицирована как ZDI-CAN-9721.

CVE-2020-15606Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код в уязвимых установках CentOS Web Panel cwp-e17.0.9.8.923. Для использования этой уязвимости аутентификация не требуется. Конкретный недостаток существует в ajax_admin_apis.php. Проблема возникает из-за отсутствия надлежащей проверки предоставленной пользователем строки перед ее использованием для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. Был ZDI-CAN-9720.

CVE-2020-15435Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код в затронутых установках CentOS Web Panel cwp-e17.0.9.8.923. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретный недостаток существует в ajax_dashboard.php. При анализе параметра service_start процесс неправильно проверяет предоставленную пользователем строку перед использованием ее для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. ZDI-CAN-9719.

CVE-2020-15434Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код в затронутых установках CentOS Web Panel cwp-e17.0.9.8.923. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретный недостаток существует в ajax_php_pecl.php. При анализе параметра canal процесс неправильно проверяет предоставленную пользователем строку перед использованием ее для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. ZDI-CAN-9745.

CVE-2020-15433Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код в затронутых установках CentOS Web Panel cwp-e17.0.9.8.923. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретный недостаток существует в ajax_php_pecl.php. При анализе параметра phpversion процесс неправильно проверяет предоставленную пользователем строку перед использованием ее для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. ZDI-CAN-9715.

CVE-2020-15432Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код в затронутых установках CentOS Web Panel cwp-e17.0.9.8.923. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретный недостаток существует в ajax_migration_cpanel.php. При анализе параметра filespace процесс неправильно проверяет предоставленную пользователем строку перед использованием ее для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. ZDI-CAN-9743.

CVE-2020-15431Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код в затронутых установках CentOS Web Panel cwp-e17.0.9.8.923. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретный недостаток существует в ajax_crons.php. При анализе параметра user процесс неправильно проверяет предоставленную пользователем строку перед использованием ее для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. ZDI-CAN-9740.

CVE-2020-15430Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код в затронутых установках CentOS Web Panel cwp-e17.0.9.8.923. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретный недостаток существует в ajax_list_accounts.php. При анализе параметра username процесс неправильно проверяет предоставленную пользователем строку перед использованием ее для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. ZDI-CAN-9736.

CVE-2020-15429Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код в затронутых установках CentOS Web Panel cwp-e17.0.9.8.923. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретный недостаток существует в ajax_crons.php. При анализе параметра user процесс неправильно проверяет предоставленную пользователем строку перед использованием ее для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. ZDI-CAN-9716.

CVE-2020-15428Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код в затронутых установках CentOS Web Panel cwp-e17.0.9.8.923. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретный недостаток существует в ajax_crons.php. При анализе параметра line процесс неправильно проверяет предоставленную пользователем строку перед использованием ее для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. ZDI-CAN-9714.

Открыть в каталоге с фильтром по вендору →