关键漏洞信息 漏洞类型: 任意文件删除漏洞 受影响的版本: <1.9.1.3 修复版本: 无 漏洞严重性: 8.1 / 10 (高) CVE ID: CVE-2025-66292 漏洞描述 概要 DPanel 存在一个任意文件删除漏洞,在 接口中,认证用户可以通过路径遍历删除服务器上的任意文件。 详细信息 当用户登录到管理后台时,可以使用此接口删除文件。 漏洞存在于 文件的 函数中。 用户提交的 参数直接传递给 ,最终传递给 ,没有进行适当的路径遍历检查。 PoC(概念验证) 1. 登录 DPanel 控制台获取 token。 2. 发送 POST 请求删除文件(例如: )。 请求示例 弱点 CWE-22: 路径遍历 CWE-73: 外部控制的文件名或路径 归功于 报告人: pyroxenites