0x01 漏洞详情
CentOS Web Panel(CWP)是一个开源的Linux控制面板软件,用于部署虚拟主机环境。
1月6日,研究人员披露了CWP7(CWP for CentOS 7)中的一个远程命令执行漏洞(CVE-2022-44877),该漏洞的PoC/EXP已公开。
Centos Web Panel 7版本0.9.8.1147之前在/login/index.php组件中存在漏洞,可能导致在未经身份验证的情况下通过精心设计的HTTP请求执行任意系统命令或代码。
影响范围
Centos Web Panel 7 版本 < 0.9.8.1147
0x02 安全建议
目前该漏洞已经修复,受影响用户可升级到 Centos Web Panel 7 版本 0.9.8.1148。
下载链接:
https://control-webpanel.com/changelog
0x03 参考链接
https://gist.github.com/numanturle/c1e82c47f4cba24cff214e904c227386
https://github.com/advisories/GHSA-fxw7-8r5q-w2v4
