一、 漏洞 CVE-2024-51568 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
CyberPanel 2.3.5之前的版本中存在命令注入漏洞,通过`completePath`参数在`ProcessUtilities.outputExecutioner()`函数中引发。此外,未认证的用户可以通过`/filemanager/upload`(文件管理器上传)功能使用Shell元字符来执行远程代码。

## 影响版本
- CyberPanel 2.3.5之前的版本

## 漏洞细节
- **命令注入**: 漏洞存在于`ProcessUtilities.outputExecutioner()`函数中,攻击者可以操纵`completePath`参数执行任意命令。
- **未认证远程代码执行**: 攻击者可以通过`/filemanager/upload`接口,利用Shell元字符执行任意代码,无需认证。

## 漏洞影响
- 攻击者可以执行任意系统命令并可能获得服务器控制权,导致系统被完全攻陷和数据泄露。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
CyberPanel (aka Cyber Panel) before 2.3.5 allows Command Injection via completePath in the ProcessUtilities.outputExecutioner() sink. There is /filemanager/upload (aka File Manager upload) unauthenticated remote code execution via shell metacharacters.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
CyberPanel 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
CyberPanel是Usman Nasir个人开发者的一款内置了DNS和电子邮件服务器的虚拟主机控制面板。 CyberPanel 2.3.5版本之前存在安全漏洞,该漏洞源于ProcessUtilities.outputExecutioner接收器中的completePath包含一个命令注入漏洞。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-51568 的公开POC
# POC 描述 源链接 神龙链接
1 CyberPanel (aka Cyber Panel) before 2.3.5 allows Command Injection via completePath in the ProcessUtilities.outputExecutioner() sink. There is /filemanager/upload (aka File Manager upload) unauthenticated remote code execution via shell metacharacters. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2024/CVE-2024-51568.yaml POC详情
2 None https://github.com/jsnv-dev/CVE-2024-51568---CyberPanel-Command-Injection-Nuclei-Template POC详情
三、漏洞 CVE-2024-51568 的情报信息
四、漏洞 CVE-2024-51568 的评论

暂无评论

发表评论