Logo Zéphyrnet

Des bogues critiques dans Control Web Panel exposent les serveurs Linux aux attaques RCE

Date :

Panneau Web CentOS

Les chercheurs ont révélé les détails de deux vulnérabilités de sécurité critiques dans Panneau Web de contrôle qui pourraient être exploitées dans le cadre d'une chaîne d'exploitation pour obtenir une exécution de code à distance pré-authentifiée sur les serveurs concernés.

Suivi comme CVE-2021-45467, la question concerne un cas de vulnérabilité d'inclusion de fichier, qui se produit lorsqu'une application Web est amenée à exposer ou à exécuter des fichiers arbitraires sur le serveur Web.

Control Web Panel, anciennement CentOS Web Panel, est un logiciel de panneau de contrôle Linux open source utilisé pour déployer des environnements d'hébergement Web.

Sauvegardes automatiques GitHub

Plus précisément, le problème survient lorsque deux des pages PHP non authentifiées utilisées dans l'application - "/user/login.php" et "/user/index.php" - ne parviennent pas à valider correctement un chemin vers un fichier de script, selon Octagon Networks ' Paulos Yibelo, qui a découvert et rapporté les défauts.

Cela signifie que pour exploiter la vulnérabilité, tout ce qu'un attaquant doit faire est de modifier le inclure la déclaration, qui est utilisé pour inclure le contenu d'un fichier PHP dans un autre fichier PHP, pour injecter du code malveillant à partir d'une ressource distante et réaliser l'exécution du code.

Fait intéressant, bien que l'application ait mis en place des protections pour signaler les tentatives de basculement vers un répertoire parent (désigné par "..") comme une "tentative de piratage", elle n'a rien fait pour empêcher l'interpréteur PHP d'accepter une chaîne spécialement conçue telle que ". 00 $. » et la réalisation efficace d'un contournement complet.

Prévenir les violations de données

Cela permet non seulement à un acteur malveillant d'accéder à des points de terminaison d'API restreints, mais peut également être utilisé en conjonction avec une vulnérabilité d'écriture de fichier arbitraire (CVE-2021-45466) pour obtenir l'exécution complète du code à distance sur le serveur comme suit :

  • Envoyer une charge utile d'inclusion de fichier alimentée par un octet nul pour ajouter une clé API malveillante
  • Utiliser la clé API pour écrire dans un fichier (CVE-2021-45466)
  • Utilisez l'étape 1 pour inclure le fichier dans lequel nous venons d'écrire (CVE-2021-45467)

Suite à une divulgation responsable, les failles ont depuis été corrigées par les responsables du CWP ainsi que mises à jour expédiées plus tôt ce mois-ci.

Source : https://thehackernews.com/2022/01/critical-bugs-in-control-web-panel.html

spot_img

Dernières informations

spot_img