آسیب پذیری با شناسه CVE-2022-44877 در Control Web Panel (CWP) کشف شده که امکان اجرا دستورات سیستمی رو به مهاجم احراز هویت نشده میده.
این پنل قبلا CentOS Web Panel نامیده میشد و در هر دو نسخه رایگان و تجاری استفاده میشد.
پنل بصورت متن باز هستش و برای مدیریت راحت و سریع سرورها (اختصاصی و مجازی) بدون نیاز به SSH بکار میره. گزینه های مختلفی هم برای اینکار داره مثلا مدیریت phpMyAdmin ، Apache و MySQL و SSL و DNS و مدیریت دسترسی ادمین و کلاینتها و …
آسیب پذیری در مولفه /login/index.php هستش و نسخه های Centos Web Panel 7 قبل از v0.9.8.1147 رو تحت تاثیر قرار میده.
مهاجم میتونه با ارسال درخواست HTTP این آسیب پذیری رو اکسپلویت کنه. یه POC و ویدیو هم براش منتشر شده.
برای اصلاح این آسیب پذیری ، باید به نسخه v0.9.8.1147 یا بالاتر بروزرسانی بکنید. نسخه های جدید رو میتونید از اینجا مشاهده کنید.