CVE-2025-48703
Оценки
EPSS
Процентиль: 62.0%
CVSS
Оценка CVSS: 9.0/10
Все оценки CVSS
Вектор: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
Разбор вектора
CVSS (Common Vulnerability Scoring System) вектор предоставляет детальные метрики о характеристиках уязвимости
CVSS
Вектор атаки
Сеть (N)
Описывает способ эксплуатации уязвимости
Сложность атаки
Высокая (H)
Описывает условия, не зависящие от атакующего
Требуемые привилегии
Отсутствуют (N)
Описывает уровень привилегий, которыми должен обладать атакующий
Взаимодействие с пользователем
Отсутствует (N)
Отражает требование участия человека в атаке
Область воздействия
Изменена (C)
Определяет, влияет ли успешная атака на компоненты за пределами уязвимого компонента
Воздействие на конфиденциальность
Высокое (H)
Измеряет воздействие на конфиденциальность информации
Воздействие на целостность
Высокое (H)
Измеряет воздействие на целостность при успешной эксплуатации уязвимости
Воздействие на доступность
Высокое (H)
Измеряет воздействие на доступность затронутого компонента
Описание
Панель управления CentOS Web Panel (CWP) до версии 0.9.8.1205 позволяет выполнять неавторизованное удаленное выполнение кода через специальные метасимволы оболочки в параметре t_total в запросе changePerm менеджера файлов. Для эксплуатации уязвимости необходимо знать действительное имя пользователя, не являющегося root [1]. Уязвимость связана с обходом аутентификации и инъекцией команд в параметр t_total, используемый в системной команде chmod. Злоумышленник может отправить POST-запрос без идентификатора пользователя и выполнить произвольные команды на сервере. Уязвимость была исправлена в версии 0.9.8.1205 в июне 2025 года [1].
Источники:
- [1] https://fenrisk.com/rce-centos-webpanel
Сканер-ВС 7 — современное решение для управления уязвимостями
Источники
CWE
Связанные уязвимости
Эксплойты
ID эксплойта: CVE-2025-48703
Источник: cisa
URL: https://www.cisa.gov/known-exploited-vulnerabilities-catalog
Уязвимое ПО (2)
Тип: Конфигурация
Операционная система:
{ "children": [ { "cpe_match": [ { "cpe23uri": "cpe:2.3:a:centos-webpanel:centos_web_panel:*:*:*:*:*:*:*:*", "versionEndExcluding": "0.9.8.1205" } ...
{ "children": [ { "cpe_match": [ { "cpe23uri": "cpe:2.3:a:centos-webpanel:centos_web_panel:*:*:*:*:*:*:*:*", "versionEndExcluding": "0.9.8.1205" } ], "negate": false, "operator": "OR" } ], "operator": "OR"}
Источник: anchore_overrides
Тип: Конфигурация
Поставщик: *
Продукт: webpanel
Операционная система: * * *
{ "cpe_match": [ { "cpe23uri": "cpe:2.3:a:control-webpanel:webpanel:*:*:*:*:*:*:*:*", "versionEndExcluding": "0.9.8.1205", "vulnerable": true } ], "operator": "OR"}
Источник: nvd