Americká agentura CISA upozorňuje na kritickou zranitelnost v CentOS Web Panel (CWP), kterou útočníci podle ní aktivně zneužívají k vzdálenému spouštění příkazů. Chybu zařadila do katalogu Known Exploited Vulnerabilities (KEV) a vyzývá k rychlé nápravě, protože jde o riziko převzetí serveru pod uživatelským účtem.
Zranitelnost vedená jako CVE-2025-48703 umožňuje vzdáleným neautentizovaným útočníkům, kteří znají platné uživatelské jméno na instanci CWP, spouštět libovolné shellové příkazy jako daný uživatel. CWP je bezplatný panel pro správu linuxových serverů a webhostingu, často nasazovaný u poskytovatelů hostingu, správců VPS i dedikovaných serverů.
Problém má podle popisu dopadat na všechny verze CWP před 0.9.8.1204. Demonstrován měl být na CentOS 7 koncem června bezpečnostním specialistou společnosti Fenrisk Maximem Rinaudem.
Jádro chyby je v endpointu changePerm ve správci souborů, který má zpracovat požadavek i v situaci, kdy chybí identifikátor konkrétního uživatele. Tím se má neautentizovaný požadavek dostat do kódu, který předpokládá přihlášeného uživatele. Další část problému souvisí s parametrem t_total, který se má chovat jako režim oprávnění pro příkaz chmod, ale je předán do shellu bez sanitizace, což otevírá cestu k injekci příkazů.
V ukázkovém scénáři zneužití popsaném v podkladu útočník odešle POST požadavek na changePerm s upraveným t_total, vloží vlastní příkaz a získá reverzní shell pod cílovým uživatelem. Chyba měla být nahlášena 13. května a oprava vyšla 18. června ve verzi CWP 0.9.8.1205.
CISA současně přidala do KEV i CVE-2025-11371, zranitelnost typu local file inclusion v produktech Gladinet CentreStack a Triofox. Podle podkladu ji společnost Huntress označila 10. října jako aktivně zneužívaný zero-day a výrobce ji opravil o čtyři dny později ve verzi 16.10.10408.56683. Federálním institucím pod směrnicí BOD 22-01 CISA stanovila termín do 25. listopadu na aplikaci oprav či mitigací, případně ukončení používání produktu.
Zdroj: BleepingComputer
Zdroj: IT SECURITY NETWORK NEWS
