V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2026-34358Высокий

CtrlPanel - это программное обеспечение для выставления счетов с открытым исходным кодом для хостинг-провайдеров. Версии 1.1.1 и предшеству…

CVSS
8.1
Высокий
EPSS
0.00
p21
Опубликовано
2026-01-01
Обновлено
2026-01-01
Описание

CtrlPanel - это программное обеспечение для выставления счетов с открытым исходным кодом для хостинг-провайдеров. Версии 1.1.1 и предшествующие содержат сломанную уязвимость контроля доступа, при которой несколько контроллеров администратора применяют проверку разрешений на методах отображения формы, но пропускают эквивалентные проверки соответствующих методов записи, что позволяет любому аутентифицированному пользователю обходить RBAC через прямые запросы POST/PATCH. Контроллеры, пропускающие проверки методов записи, хранилище (и обновление) включают ApplicationApiController (admin.api.write), CouponController (admin.coupons.write), PartnerController (admin.partners.write), ShopProductController (admin.store.write), UsefulLinkController (admin.Рит); ProductController (admin.products.edit), ServerController (write/change_owner/change_password/change_didentifier) и UserController (write/change_email/change_credits/change_username/change_password/change_role/change_referral/change_pertero/change_serverlimit) только пропущены проверки на обновление()Принимает любую просьбу. Аутентифицированный злоумышленник без привилегий admin может выдавать учетные данные API, генерировать неограниченные купоны и ваучеры, назначать произвольные ставки комиссии и дисконтирования партнера, изменять цены и лимиты продуктов магазина, переназначать владение сервером или идентификаторы и изменять учетные записи пользователей, включая роли, кредиты, пароли и связанные идентификаторы птеродактилей, чтобы добиться полной эскалации привилегий. Эта проблема была исправлена в версии 1.2.0.

Теги · CWE
CWE-284
CAPEC-19
CAPEC-441
CAPEC-478
CAPEC-479
CAPEC-502
CAPEC-503
CAPEC-536
CAPEC-546
CAPEC-550
CAPEC-551
CAPEC-552
CAPEC-556
CAPEC-558
CAPEC-562
CAPEC-563
CAPEC-564
CAPEC-578
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Хронология
2026-01-01
Опубликована
2026-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: L
Низкие (L)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: H
Высокое (H)
Воздействие на доступность
A: N
Отсутствует (N)
Индикаторы эксплуатации
EPSS
0.003 · p21
Известна эксплуатация (KEV)
Нет
MITRE ATT&CK
Выводимые через CAPEC
└ через CAPEC-552 · CWE-284
└ через CAPEC-558 · CWE-284
└ через CAPEC-552 · CWE-284
└ через CAPEC-564 · CWE-284
└ через CAPEC-478 · CWE-284
└ через CAPEC-564 · CWE-284
└ через CAPEC-19 · CWE-284
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Нет уязвимостей под заданные фильтры.