一、 漏洞 CVE-2025-49132 基础信息
漏洞信息
# Pterodactyl Panel允许未经身份验证的任意远程代码执行
## 概述
Pterodactyl 是一个免费的开源游戏服务器管理面板。在 1.11.11 版本之前,通过利用 `/locales/locale.json` 路径和 `locale` 与 `namespace` 查询参数,攻击者能够在未认证的情况下执行任意代码。利用此漏洞,攻击者可以访问管理面板的服务器、读取配置中的凭证信息、从数据库中获取敏感信息、访问受管理面板管理的服务器文件等。
## 影响版本
- 1.11.11 版本之前的所有版本
## 细节
- 攻击者通过 `/locales/locale.json` 路径和特定查询参数 `locale` 与 `namespace` 来执行任意代码。
- 没有软件补丁来缓解此漏洞,但使用外部 Web 应用防火墙(WAF)有助于缓解此攻击。
- 漏洞已在 1.11.11 版本中修复。
## 影响
- 攻击者可以获取管理面板的服务器访问权限。
- 读取管理面板配置中的凭证信息。
- 从数据库中提取敏感信息。
- 访问由管理面板所管理的服务器文件。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-49132 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | Pterodactyl is a free, open-source game server management panel. Using the /locales/locale.json with the locale and namespace query parameters, a malicious actor is able to execute arbitrary code without being authenticated. | https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-49132.yaml | POC详情 |
| 2 | A script that gives you the credentials of a Pterodactyl panel vulnerable to CVE-2025-49132 | https://github.com/Zen-kun04/CVE-2025-49132 | POC详情 |
| 3 | Check a list of Pterodactyl panels for vulnerabilities from a file. | https://github.com/nfoltc/CVE-2025-49132 | POC详情 |
| 4 | Pterodactyl翼龙面板CVE-2025-49132批量检测☝️🤓 | https://github.com/qiaojojo/CVE-2025-49132_poc | POC详情 |
| 5 | PoCs for CVE-2025-49132 | https://github.com/63square/CVE-2025-49132 | POC详情 |
| 6 | Poc - CVE-2025-49132 | https://github.com/melonlonmeo/CVE-2025-49132 | POC详情 |
| 7 | Check a list of Pterodactyl panels for vulnerabilities from a file. | https://github.com/uxieltc/CVE-2025-49132 | POC详情 |
| 8 | None | https://github.com/0xtensho/CVE-2025-49132-poc | POC详情 |
三、漏洞 CVE-2025-49132 的情报信息
-
-
标题: Unauthenticated Arbitrary Remote Code Execution · Advisory · pterodactyl/panel · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
-
标题: fix: add additional input validation · pterodactyl/panel@24c82b0 · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-49132
四、漏洞 CVE-2025-49132 的评论
暂无评论