anchore_overrides,nvd
Pterodactyl
Уязвимости
21
Эксплуатируемые
0
Критический
2
Высокий
10
Топ уязвимостей
CVE-2025-49132Pterodactyl - это бесплатная панель управления игровым сервером с открытым исходным кодом. До версии 1.11.11, используя /locales/locale.json с параметрами локальной и именной, злоумышленник может выполнять произвольный код без аутентификации. Благодаря возможности выполнения произвольного кода его можно использовать для получения доступа к серверу Группы, считывать учетные данные из конфигурации Группы, извлекать конфиденциальную информацию из базы данных, получать доступ к файлам серверов, управляемых панелью, и т.д. Этот вопрос был исправлен в версии 1.11.11. Для этой уязвимости нет обходных условий программного обеспечения, но использование внешнего брандмауэра веб-приложений (WAF) может помочь смягчить эту атаку.
CVE-2026-26016Wings - это планировка управления сервером для Pterodactyl, бесплатной панели управления игровым сервером с открытым исходным кодом. До версии 1.12.1 недостающая проверка авторизации в нескольких контроллерах позволяет любому пользователю, имеющим доступ к секретному токену узлов, получать информацию о любом сервере в экземпляре птеродактиля, даже если этот сервер связан с другим узлом. Эта проблема связана с отсутствующей логикой для проверки того, что узл, запрашивающий данные сервера, является тем же узлом, с каким связан сервер. Любой аутентифицированный узел Wings может извлекать скрипты установки сервера (потенциально содержащие секретные значения) и манипулировать состоянием установки серверов, принадлежащих другим узлам. Узлы Wings могут также манипулировать состоянием передачи серверов, принадлежащих другим узлам. Эта уязвимость требует, чтобы пользователь приобрел секретный токен доступа для узла. Если пользователь не получит доступ к токену секретного доступа Wings, он не сможет получить доступ к любой из этих уязвимых конечных точек, поскольку каждая конечная точка требует действительного токена доступа к узлу. Один скомпрометированный демонический токен Wings node (хранится в открытом тексте в `/etc/pterodactyl/config.yml`) предоставляет доступ к конфиденциальным данным конфигурации каждого сервера на панели, а не только к серверам, к которым имеет доступ узел. Злоумышленник может использовать эту информацию для перемещения через систему, отправки чрезмерных уведомлений, уничтожения данных сервера на других узлах и иным образом экстрагирования секретов, к которым он не должен иметь доступа только с помощью токена узла. Кроме того, запуск ложного успеха передачи заставляет панель удалять сервер из исходного узла, что приводит к постоянной потере данных. Пользователи должны обновиться до версии 1.12.1, чтобы получить исправление.
CVE-2023-32080Wings - это панель управления сервером для Pterodactyl Panel. Уязвимость, затрагивающая версии до 1.7.5 и версии 1.11.0 до 1.11.6, влияет на всех, кто использует затронутые версии Wings. Эту уязвимость можно использовать для получения доступа к хост-системе, на которой работает Wings, если пользователь может изменить скрипт установки сервера или скрипт установки выполняет код, предоставленный пользователем (либо через переменные среды, либо через команды, которые выполняют команды на основе пользовательских данных). Эта уязвимость была устранена в версии `v1.11.6` Wings и была перенесена в серию релизов 1.7 в `v1.7.5`. Всем, кто использует `v1.11.x`, следует обновиться до `v1.11.6`, а всем, кто использует `v1.7.x`, следует обновиться до `v1.7.5`. Обходных путей, кроме обновления, нет. Запуск Wings с контейнерной средой выполнения без root может снизить серьезность любых атак, однако большинство пользователей используют контейнерные среды выполнения, которые работают как root, согласно документации Wings. SELinux может предотвратить выполнение злоумышленниками определенных операций против хост-системы, однако привилегированные контейнеры имеют большую свободу даже в системах с включенным SELinux. Следует отметить, что это был известный вектор атаки, и для того, чтобы злоумышленники могли легко использовать эту атаку, потребуется скомпрометировать учетную запись администратора на панели. Однако у определенных яиц (структуры данных, содержащей скрипты установки, которые передаются в Wings) есть проблема, когда они, не зная об этом, выполняют команды оболочки с повышенными привилегиями, предоставленными ненадежными пользовательскими данными.
CVE-2023-25152Wings — это плоскость управления сервером Pterodactyl. Уязвимые версии подвержены уязвимости, которая может быть использована для создания новых файлов и структур каталогов в хост-системе, которые ранее не существовали, что потенциально позволяет злоумышленникам изменять распределение ресурсов, переводить свои контейнеры в привилегированный режим или потенциально добавлять авторизованные ключи ssh, чтобы разрешить злоумышленнику доступ к удаленной оболочке на целевой машине. Для использования этого эксплойта злоумышленник должен иметь существующий «сервер», выделенный и контролируемый Wings Daemon. Эта уязвимость была устранена в версии `v1.11.3` Wings Daemon и перенесена в серию выпусков 1.7 в `v1.7.3`. Всем, кто использует `v1.11.x`, следует обновиться до `v1.11.3`, а всем, кто использует `v1.7.x`, следует обновиться до `v1.7.3`. Известных обходных путей для решения этой уязвимости нет.
### Обходные пути
На данный момент нет.
CVE-2024-27102Wings - это плоскость управления сервером для Pterodactyl Panel. Эта уязвимость затрагивает всех, кто использует уязвимые версии Wings. Уязвимость потенциально может быть использована для доступа к файлам и каталогам в хост-системе. Полный масштаб воздействия точно неизвестен, но возможно чтение файлов за пределами базового каталога сервера (корневого каталога песочницы). Чтобы использовать этот эксплойт, злоумышленник должен иметь существующий "сервер", выделенный и контролируемый Wings. Подробности об использовании этой уязвимости находятся под эмбарго до 27 марта 2024 г., 18:00 UTC. Чтобы устранить эту уязвимость, потребовалась полная перепись всей файловой системы сервера. Из-за этого размер патча огромен, однако были предприняты усилия для уменьшения количества критических изменений. Пользователям рекомендуется обновиться до версии 1.11.9. Известных обходных путей для этой уязвимости нет.
CVE-2024-34066Pterodactyl wings — это плоскость управления сервером для Pterodactyl Panel. Если токен Wings просочился либо из-за просмотра конфигурации узла, либо из-за случайной публикации где-либо, злоумышленник может использовать его для получения произвольной записи файлов и доступа для чтения на узле, с которым связан токен. Эта проблема была устранена в версии 1.11.12, и пользователям рекомендуется обновиться. Пользователи, которые не могут обновиться, могут включить параметр `ignore_panel_config_updates` в качестве обходного пути.
CVE-2026-21696Wings - это план контроля сервера для Pterodactyl, бесплатной панели управления игровым сервером с открытым исходным кодом. Начиная с версии 1.7.0 и до версии 1.12.0, Wings не учитывает предел максимальных параметров SQLite при обработке записей журнала активности, что позволяет низкопривилегированному пользователю инициировать состояние, которое наводняет панель записями о деятельности. После того, как Wings отправляет журналы активности на панель, она удаляет записи обработанной активности из базы данных крыльев SQLite. Однако он не учитывает максимальный предел параметров SQLite, 32766 по состоянию на SQLite 3.32.0. Если крылья пытаются удалить более 32766 записей из базы данных SQLite в одном запросе, это вызывает ошибку (ошибка SQL: слишком много переменных SQL (1)) и не удаляет какие-либо записи из базы данных. Эти записи затем на неопределенный срок перерабатываются и возмущаются панели каждый раз, когда прогона крон. Успешно используя эту уязвимость, злоумышленник может вызвать ситуацию, когда крылья будут продолжать загружать одни и те же данные о деятельности на панель неоднократно (расширяясь каждый раз, чтобы включить новую активность), пока сервер базы данных панелей не исчерпает дисковое пространство. Версия 1.12.0 исправляет проблему.
CVE-2025-69199Wings - это план контроля сервера для Pterodactyl, бесплатной панели управления игровым сервером с открытым исходным кодом. До версии 1.12.0 веб-сотки в крыльях не имеют правильного ограничения скорости и дросселирования. В результате злоумышленник может открыть большое количество соединений, а затем запросить данные через эти сокеты, вызывая чрезмерный объем данных по сети и перегружая память и процессор системы хостов. Кроме того, не существует ограничения, применяемого к общему размеру отправляемых или получаемых сообщений, что позволяет злонамеренному пользователю открывать тысячи подключений к веб-разъему, а затем отправлять огромные объемы информации по розетке, перегрузки сети хоста и вызывая увеличение нагрузки процессора и памяти в крыльях. Версия 1.12.0 исправляет проблему.
CVE-2023-25168Wings — это плоскость управления сервером Pterodactyl. Эта уязвимость может быть использована для рекурсивного удаления файлов и каталогов в хост-системе. Эту уязвимость можно объединить с `GHSA-p8r3-83r8-jwj5` для перезаписи файлов в хост-системе. Чтобы использовать этот эксплойт, злоумышленник должен иметь существующий «сервер», выделенный и контролируемый Wings. Эта уязвимость устранена в версии `v1.11.4` Wings и перенесена в серию выпусков 1.7 в `v1.7.4`. Всем, кто использует `v1.11.x`, следует обновиться до `v1.11.4`, а всем, кто использует `v1.7.x`, следует обновиться до `v1.7.4`. Обходные пути для этой проблемы отсутствуют.
CVE-2021-41129Pterodactyl - это панель управления игровым сервером с открытым исходным кодом, построенная с использованием PHP 7, React и Go. Злоумышленник может изменить содержимое ввода `confirmation_token` во время процесса двухфакторной аутентификации, чтобы сослаться на значение кэша, не связанное с попыткой входа в систему. В редких случаях это может позволить злоумышленнику пройти аутентификацию в качестве случайного пользователя в панели. Злоумышленник должен нацелиться на учетную запись с включенной двухфакторной аутентификацией, а затем должен предоставить правильный токен двухфакторной аутентификации, прежде чем пройти аутентификацию в качестве этого пользователя. Из-за недостатка проверки в логике обработки аутентификации пользователя во время процесса двухфакторной аутентификации злоумышленник может обманом заставить систему загрузить учетные данные для произвольного пользователя, изменив токен, отправленный на сервер. Этот недостаток аутентификации присутствует в методе `LoginCheckpointController@__invoke`, который обрабатывает двухфакторную аутентификацию для пользователя. Этот контроллер ищет входной параметр запроса с именем `confirmation_token`, который, как ожидается, будет 64-символьной случайной буквенно-цифровой строкой, ссылающейся на значение в кэше панели, содержащее значение `user_id`. Это значение затем используется для получения пользователя, который пытался войти в систему, и поиска его токена двухфакторной аутентификации. Из-за конструкции этой системы любой элемент в кэше, содержащий только цифры, может быть использован злоумышленником, и любое значение, хранящееся в этой позиции, будет использоваться в качестве `user_id`. В панели есть несколько разных областей, которые сохраняют значения в кэше, которые являются целыми числами, и пользователь, который определяет, что это за ключи кэша, может передать один из этих ключей, что приведет к тому, что этот путь кода будет ссылаться на произвольного пользователя. По сути, это уязвимость обхода входа в систему с высоким риском. Однако есть несколько дополнительных условий, которые должны быть выполнены для успешного выполнения этого, а именно: 1.) Учетная запись, на которую ссылается вредоносный ключ кэша, должна иметь включенную двухфакторную аутентификацию. Учетная запись без двухфакторной аутентификации вызовет исключение, которое будет запущено логикой аутентификации, таким образом завершая этот поток аутентификации. 2.) Даже если злоумышленник сможет сослаться на действительный ключ кэша, который ссылается на действительную учетную запись пользователя с двухфакторной аутентификацией, он должен предоставить действительный токен двухфакторной аутентификации. Однако из-за конструкции этой конечной точки, как только найдена действительная учетная запись пользователя с включенной двухфакторной аутентификацией, нет никакого ограничения скорости, что позволяет злоумышленнику перебирать комбинации, пока не будет достигнут успех. Это приводит к третьему условию, которое должно быть выполнено: 3.) В течение этой последовательности атак ключ кэша, на который ссылаются, должен продолжать существовать с действительным значением `user_id`. В зависимости от конкретного ключа, используемого для этой атаки, это значение может быстро исчезнуть или быть изменено другими случайными взаимодействиями пользователя на панели, вне контроля злоумышленника. Чтобы смягчить эту уязвимость, базовая логика аутентификации была изменена для использования зашифрованного хранилища сеансов, значение которого пользователь, следовательно, не может контролировать. Это полностью исключило использование значения, контролируемого пользователем. Кроме того, код был проверен, чтобы убедиться, что этот тип уязвимости отсутствует в других местах.
CVE-2025-68954Pterodactyl - это бесплатная панель управления игровым сервером с открытым исходным кодом. Версий 1.1.1.11 и ниже не отменяют активные соединения SFTP, когда пользователь удаляется из экземпляра сервера или имеет изменения в своих разрешениях в отношении доступа к файлам по SFTP. Это позволяет пользователю, который уже был подключен к SFTP, оставаться подключенным и получать доступ к файлам даже после отзыва его разрешений. Пользователь должен быть подключен к SFTP во время отзыва его разрешений, чтобы использовать эту уязвимость. Эта проблема исправлена в версии 1.12.0.
CVE-2019-1020002Pterodactyl до версии 0.7.14 с 2FA позволяет перехватывать учетные данные.
CVE-2025-69197Pterodactyl - это бесплатная панель управления игровым сервером с открытым исходным кодом. Версии 1.11.11 и ниже позволяют использовать TOTP несколько раз во время окна его действия. Пользователям с включенным 2FA предлагается ввести токен во время входа, а после этого он недостаточно помечается, как используется в системе. Это позволяет злоумышленнику, который перехватывает этот токен, использовать его в дополнение к известному имени пользователя / паролю во время 60-секундного окна действительности токена. Злоумышленник должен был перехватить действительный токен 2FA (например, во время обмена экраном). Эта проблема исправлена в версии 1.12.0.
CVE-2021-32699Wings - это программное обеспечение плоскости управления для системы управления играми Pterodactyl с открытым исходным кодом. Все версии Pterodactyl Wings до `1.4.4` уязвимы к истощению системных ресурсов из-за неправильно определенных ограничений процесса контейнера. Злонамеренный пользователь может потреблять больше ресурсов, чем предполагалось, и вызывать последующее воздействие на других клиентов на том же оборудовании, в конечном итоге приводя к тому, что физический сервер перестанет отвечать на запросы. Пользователям следует обновиться до `1.4.4`, чтобы устранить проблему. Не существует обходного пути для затронутых версий программного обеспечения, не основанного на коде. Пользователи, использующие настроенные версии этого программного обеспечения, могут вручную установить ограничение PID для создаваемых контейнеров.
CVE-2024-34068Pterodactyl wings — это плоскость управления сервером для Pterodactyl Panel. Аутентифицированный пользователь, имеющий доступ к игровому серверу, может обойти ранее реализованный контроль доступа (GHSA-6rg3-8h8x-5xfv), который предотвращает доступ к внутренним конечным точкам узла, на котором размещается Wings, в конечной точке pull. Это позволит злоумышленникам потенциально получить доступ к ресурсам в локальных сетях, которые в противном случае были бы недоступны. Эта проблема была устранена в версии 1.11.2, и пользователям рекомендуется обновиться. Пользователи, которые не могут обновиться, могут включить параметр `api.disable_remote_download` в качестве обходного пути.
CVE-2024-34067Pterodactyl — это бесплатная панель управления игровым сервером с открытым исходным кодом, созданная на PHP, React и Go. Импорт вредоносного яйца или получение доступа к экземпляру wings может привести к межсайтовому скриптингу (XSS) на панели, который можно использовать для получения учетной записи администратора на панели. В частности, это влияет на следующие элементы: образы Egg Docker и переменные Egg: имя, переменная среды, значение по умолчанию, описание, правила проверки. Кроме того, определенные поля будут отражать вредоносный ввод, но для этого потребуется, чтобы пользователь сознательно ввел такой ввод, чтобы это повлияло. Повторяю, для этого потребуется, чтобы администратор выполнил действия, которые не могут быть запущены обычным пользователем панели. Эта проблема была устранена в версии 1.11.6, и пользователям рекомендуется обновиться. Других обходных путей, кроме обновления до последней версии панели, не существует.
CVE-2025-69198Pterodactyl - это бесплатная панель управления игровым сервером с открытым исходным кодом. Птеродактиля реализует ограничения ставки, которые применяются к общему количеству ресурсов (например, баз данных, распределение портов или резервных копий), которые могут существовать для отдельного сервера. Эти ограничения ресурсов применяются на основе сервера и подтверждаются в течение цикла запроса. Однако в версиях до 1.1.20 злоумышленник может отправлять в то же время огромный объем запросов, которые создавали бы больше ресурсов, чем выделено сервер. Это связано с тем, что валидация происходит на ранней стадии цикла запроса и не блокирует целевой ресурс во время обработки. В результате отправка большого количества запросов одновременно приведет к тому, что все эти запросы будут проверяться как не использующие какие-либо из целевых ресурсов, а затем все создают ресурсы одновременно. В результате сервер сможет создавать больше баз данных, распределений или резервных копий, чем настроено. Вредоносный пользователь может отказывать в ресурсах другим пользователям системы и может чрезмерно потреблять ограниченные ассигнования для узла или заполнять резервное пространство быстрее, чем это разрешено системой. Версия 1.12.0 устраняет проблему.
CVE-2024-49762Pterodactyl - это бесплатная панель управления игровыми серверами с открытым исходным кодом. Когда пользователь отключает двухфакторную аутентификацию через панель, отправляется запрос `DELETE` с его текущим паролем в параметре запроса. Хотя параметры запроса шифруются при использовании TLS, многие веб-серверы (включая те, которые официально задокументированы для использования с Pterodactyl) регистрируют параметры запроса в виде обычного текста, сохраняя пароль пользователя в виде обычного текста. До версии 1.11.8, если злоумышленник получит доступ к этим журналам, он может потенциально аутентифицироваться в учетной записи пользователя, предполагая, что он сможет обнаружить адрес электронной почты или имя пользователя учетной записи отдельно. Эта проблема была исправлена в версии 1.11.8. В настоящее время обходных путей нет. Не существует прямой уязвимости в программном обеспечении, поскольку она относится к журналам, генерируемым промежуточными компонентами, такими как веб-серверы или прокси уровня 7. Обновление до `v1.11.8` или добавление связанного патча вручную - единственный способ избежать этой проблемы. Поскольку эта уязвимость связана с историческим ведением журнала конфиденциальных данных, пользователям, которые когда-либо отключали 2FA на панели (размещенной самостоятельно или управляемой компанией), следует изменить свои пароли и рассмотреть возможность включения 2FA, если она была оставлена отключенной. Хотя маловероятно, что их учетная запись будет скомпрометирована этой уязвимостью, это не невозможно. Администраторам панели следует рассмотреть возможность очистки любых журналов доступа, которые могут содержать конфиденциальные данные.
CVE-2021-41273Pterodactyl - это панель управления игровым сервером с открытым исходным кодом, созданная с использованием PHP 7, React и Go. Из-за неправильно настроенной защиты CSRF на двух маршрутах злоумышленник может выполнить атаку на основе CSRF против следующих конечных точек: отправка тестового электронного письма и создание токена автоматического развертывания узла. Ни в какой момент никакие данные не будут предоставлены злоумышленнику, это просто вызовет рассылку спама по электронной почте административному пользователю или неожиданно сгенерирует один токен автоматического развертывания. Этот токен не раскрывается злоумышленнику, он просто создается неожиданно в системе. Эта проблема была решена в выпуске `1.6.6`. Пользователи могут при желании вручную применить исправления, выпущенные в v1.6.6, для исправления своих собственных систем.
CVE-2021-41176Pterodactyl — это панель управления игровыми серверами с открытым исходным кодом, созданная с использованием PHP 7, React и Go. В уязвимых версиях Pterodactyl злоумышленник может вызвать выход пользователя из системы, если зарегистрированный пользователь посетит вредоносный веб-сайт, отправляющий запрос в конечную точку выхода панели. Это требует целенаправленной атаки на конкретный экземпляр панели и служит только для выхода пользователя из системы. **Никакие данные пользователя не утекают, и никакие пользовательские данные не затрагиваются, это в худшем случае просто раздражает.** Эта проблема устранена в версии 1.6.3.
CVE-2026-35202Pterodactyl - это бесплатная панель управления игровым сервером с открытым исходным кодом. До версии 1.12.3 API Pterodactyl Client имеет логический недостаток, который позволяет пользователям обходить назначенные им пределы для распределения баз данных. Это происходит потому, что механизм блокировки базы данных, используемый в контроллерах, полностью сломан и на самом деле ничего не блокирует. Версия 1.12.3 исправляет проблему.