CWP | Александр В. Леонов

Про уязвимость Remote Code Execution - Control Web Panel (CVE-2025-48703). Control Web Panel (CWP) - это бесплатная панель управления веб-хостингом для RPM-based дистрибутивов. Это веб-приложение позволяет удобно настраивать и контролировать веб-серверы (Apache, NGINX), базы данных (MySQL, MariaDB), почтовые системы (Postfix, Dovecot, Roundcube), DNS (BIND) и средства безопасности (CSF, ModSecurity).

💡 Суть уязвимости: в запросе changePerm модуля filemanager есть параметр t_total, значение которого без достаточной проверки используется в качестве аргумента системной команды chmod. 🤷‍♂️ Это позволяет неаутентифицированному злоумышленнику выполнять произвольные shell-команды на сервере CWP. 😏

⚙️ Уязвимость исправлена в версии 0.9.8.1205, вышедшей 18 июня 2025 года.

🛠 Через четыре дня, 22 июня, вышел подробный write-up c описанием эксплуатации. А чуть позже появились и эксплоиты на GitHub.

👾 4 ноября уязвимость добавили в CISA KEV.

🌐 Shodan видит в Интернете около 220 000 инсталляций CWP.

Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.

Александр В. Леонов

Управление Уязвимостями и прочее

Архив метки: CWP

Про уязвимость Remote Code Execution - Control Web Panel (CVE-2025-48703)