Декабрьский "В тренде VM": уязвимости в Windows, библиотеке expr-eval, Control Web Panel и Django. Традиционная ежемесячная подборка трендовых уязвимостей. В этот раз достаточно компактная. 💽
🗞 Пост на Хабре
🗞 Пост на SecurityLab
🗒 Дайджест на сайте PT
Всего четыре уязвимости:
🔻 EoP - Windows Kernel (CVE-2025-62215)
🔻 RCE - expr-eval (CVE-2025-12735)
🔻 RCE - Control Web Panel (CVE-2025-48703)
🔻 SQLi - Django (CVE-2025-64459)
Про уязвимость Remote Code Execution - Control Web Panel (CVE-2025-48703). Control Web Panel (CWP) - это бесплатная панель управления веб-хостингом для RPM-based дистрибутивов. Это веб-приложение позволяет удобно настраивать и контролировать веб-серверы (Apache, NGINX), базы данных (MySQL, MariaDB), почтовые системы (Postfix, Dovecot, Roundcube), DNS (BIND) и средства безопасности (CSF, ModSecurity).
💡 Суть уязвимости: в запросе changePerm модуля filemanager есть параметр t_total, значение которого без достаточной проверки используется в качестве аргумента системной команды chmod. 🤷♂️ Это позволяет неаутентифицированному злоумышленнику выполнять произвольные shell-команды на сервере CWP. 😏
⚙️ Уязвимость исправлена в версии 0.9.8.1205, вышедшей 18 июня 2025 года.
🛠 Через четыре дня, 22 июня, вышел подробный write-up c описанием эксплуатации. А чуть позже появились и эксплоиты на GitHub.
👾 4 ноября уязвимость добавили в CISA KEV.
🌐 Shodan видит в Интернете около 220 000 инсталляций CWP.
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.