一、 漏洞 CVE-2025-54424 基础信息
漏洞信息
# 1Panel Agent 证书绕过任意命令执行
## 概述
1Panel 是一款用于管理 Linux 服务器上的网站、文件、容器、数据库和大语言模型的 Web 界面与 MCP 服务器。在版本 2.0.5 及之前中,Core 与 Agent 之间的 HTTPS 通信未正确验证证书,导致接口可能被未经授权访问。
## 影响版本
- 所有版本 2.0.5 及以下
## 细节
漏洞存在于 Core 和 Agent 之间的 HTTPS 通信过程中,证书验证不完整。攻击者可在不提供有效证书的情况下访问这些接口。由于存在多个可执行命令或具有高权限的接口,此问题可被利用以实现远程代码执行(RCE)。
## 影响
- **远程代码执行 (RCE)**:攻击者可通过未授权访问关键接口在服务器上执行任意命令。
- **权限提升**:可能通过调用高权限接口获取更高系统权限。
## 修复
- 在 **版本 2.0.6** 中已修复此问题。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-54424 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-54424 的情报信息
-
标题: Release v2.0.6 · 1Panel-dev/1Panel · GitHub -- 🔗来源链接
标签: x_refsource_MISC
-
标题: 1Panel agent certificate verification bypass leading to arbitrary command execution · Advisory · 1Panel-dev/1Panel · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
-
标题: fix: Resolve certificate validate failure Issues by ssongliu · Pull Request #9698 · 1Panel-dev/1Panel · GitHub -- 🔗来源链接
标签: x_refsource_MISC
- https://nvd.nist.gov/vuln/detail/CVE-2025-54424
四、漏洞 CVE-2025-54424 的评论
暂无评论