CentOS Web Panel (CWP) 远程代码执行漏洞
漏洞信息
漏洞名称: CentOS Web Panel (CWP) 远程代码执行漏洞
漏洞编号:
- CVE: CVE-2025-48703
漏洞类型: 命令执行
漏洞等级: 严重
漏洞描述: CentOS Web Panel (CWP) 是一个为CentOS系统设计的Web控制面板,广泛用于服务器管理,提供图形化界面以简化网站和服务器配置。由于其易用性和功能性,CWP在中小型企业和个人用户中较为流行。该漏洞存在于CWP的认证机制中,允许未经认证的攻击者绕过认证并执行系统命令,导致远程代码执行(RCE)。漏洞的技术根源在于CWP未能正确验证用户输入,使得攻击者能够构造恶意请求绕过认证检查,进而执行任意命令。这一漏洞的影响极为严重,攻击者无需任何认证即可利用此漏洞完全控制受影响的系统,可能导致数据泄露、服务中断或其他恶意活动。由于漏洞可以被远程利用且无需用户交互,其风险等级被评估为严重。
产品厂商: CentOS Web Panel
产品名称: CentOS Web Panel (CWP)
影响版本: version <= 0.9.8.1204
搜索语法: Server: cwpsrv
来源: https://github.com/itstarsec/CVE-2025-48703
类型: CVE-2025:github search
仓库文件
- PoC.txt
- README.md
来源概述
CVE-2025-48703
CVE-2025-48703 là lỗ hổng mức độ nghiêm trọng trong CentOS Web Panel (CWP) cho phép kẻ tấn công không xác thực (unauthenticated) có thể thực thi mã từ xa (RCE) thông qua bỏ qua cơ chế xác thực và thực thi câu lệnh hệ thống. Lỗ hổng ảnh hưởng CWP từ phiên bản 0.9.8.1204 trở về trước, và đã được vá trên phiên bản mới nhất 0.9.8.1205.
Shodan crawler:
1 | |
