← voltar
CVE-2025-48703

CVE-2025-48703

CVSS 9 CRITICALEPSS 99.6%● KEVCWE-78
Em resumo

O CWP (Painel Web do CentOS) antes da versão 0.9.8.1205 tem um grave problema que permite que atacantes executem comandos maliciosos no servidor sem fazer login. Eles exploram isso injetando comandos de shell em uma solicitação de alteração de permissão de arquivo, desde que saibam um nome de usuário que não seja root.

Detalhe técnico

Existe injeção de comando do sistema operacional (CWE-78) no endpoint filemanager changePerm, onde o parâmetro t_total não é devidamente sanitizado antes de ser passado para execução em shell. Um atacante não autenticado pode injetar metacaracteres de shell para conseguir execução remota de código, desde que possua um nome de usuário não-root válido. A vulnerabilidade afeta versões anteriores a 0.9.8.1205.

Resumo gerado e traduzido por IA a partir da descrição oficial.
CWP (aka Control Web Panel or CentOS Web Panel) before 0.9.8.1205 allows unauthenticated remote code execution via shell metacharacters in the t_total parameter in a filemanager changePerm request. A valid non-root username must be known.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
Produtos afetados
centos-webpanel · CentOS Web Panel
PoCs públicas encontradas3
githubgithub.com/Skynoxk/CVE-2025-487034githubgithub.com/ftz7/PoC-CVE-2025-487032githubgithub.com/itstarsec/CVE-2025-487030
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://control-webpanel.com/changeloghttps://fenrisk.com/rce-centos-webpanelhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-48703