本文作者:流量卡管家

Control Web Panel漏洞将允许黑客针对Linux服务器展开远程程序攻击 (庆祝广州疫情防控取得阶段胜利)

流量卡管家 2023-03-19 19:02:26
Control Web Panel漏洞将允许黑客针对Linux服务器展开远程程序攻击 (庆祝广州疫情防控取得阶段胜利)摘要: 资安业者Octagon Networks近日公开了两个Linux开源面板Control Web Panel(原名CentOS Web Panel,CWP)的安全漏洞,骇客若串连...
电信鸢尾卡
类型:免费包邮
特点:39元260G支持结转黄金速率
联通黑牛卡
类型:免费包邮
特点:29元135G全国流量+100分钟
移动金香卡
类型:免费包邮
特点:29元155G首月免月租
流量卡营业厅
全网营业厅超市
免费包邮,应有尽有
Control Web Panel漏洞将允许黑客针对Linux服务器展开远程程序攻击 (庆祝广州疫情防控取得阶段胜利)

资安业者Octagon Networks近日公开了两个Linux开源面板Control Web Panel(原名CentOS Web Panel,CWP)的安全漏洞,骇客若串连这两个漏洞将可对Linux服务器执行远程程序攻击,不过,CWP的维护者已于本月中旬修补了相关漏洞。

CWP为一采用网页界面的控制面板,多半用来部署及管理网页代管环境,支持CentOS、Rocky Linux、Alma Linux及Oracle Linux等平台,估计全球至少有20万台服务器采用CWP。

发现CVE-2021-45467及CVE-2021-45466这两个CWP漏洞的,为Octagon的研究人员Paulos Yibelo,其中,CVE-2021-45467属于文件包含漏洞,将允许黑客注册原本受到限制的API密钥,CVE-2021-45466则为文件写入漏洞。

Octagon公布了相关漏洞的开采程序,他们先传送一个空字符(Null Byte)的文件包含酬载以添增恶意的API密钥,再藉由CVE-2021-45466漏洞以密钥写入文件,最后透过CVE-2021-45467漏洞于第一个步骤中包含刚写入的文件,即可成功执行远程程序攻击。

Octagon也打算在大多数的服务器都进行版本更新之后,释出完整的概念性验证攻击程序。

正规流量卡免费办理,长按二维码进入

阅读
分享