【已复现】Cyber​​Panel 远程命令执行漏洞(QVD-2024-44346)安全风险通告

主要观点总结

文章介绍了CyberPanel的upgrademysqlstatus远程命令执行漏洞（QVD-2024-44346）的详细信息，包括漏洞的评级、影响范围、技术细节、危害描述以及处置建议等。

关键观点总结

关键观点1: 漏洞概述

文章介绍了CyberPanel存在一个远程命令执行漏洞（QVD-2024-44346），该漏洞源于upgrademysqlstatus接口未做身份验证和参数过滤，可能导致未授权的攻击者执行任意命令获取服务器权限，从而造成数据泄露或服务器被接管等严重后果。

关键观点2: 影响范围

受影响的是CyberPanel v2.3.5和v2.3.6版本。奇安信鹰图资产测绘平台数据显示，国内风险资产总数为12289个，关联IP总数为4316个；全球风险资产总数为241306个，关联IP总数为52719个。

关键观点3: 复现情况

奇安信威胁情报中心安全研究员已成功复现该漏洞，并进行了安全风险通告。

关键观点4: 处置建议

官方已有可更新版本，建议受影响用户升级至最新版本CyberPanel >= v2.3.7。同时，产品解决方案如奇安信天眼检测方案、网站应用安全云防护系统、网神网络数据传感器系统产品检测方案等已经能够有效检测针对该漏洞的攻击，并给出了相应的升级方法。

免责声明