[KIS-2025-09] Control Web Panel <= 0.9.8.1208 (admin/index.php) OS Command Injection Vulnerability
嗯,用户让我帮忙总结一篇文章,控制在100字以内,而且不需要特定的开头。首先,我得仔细阅读这篇文章的内容。 文章标题是“Control Web Panel <= 0.9.8.1208 (admin/index.php) OS Command Injection Vulnerability”,看起来这是一个关于控制面板软件的漏洞。作者是Egidio Romano,日期是2025年12月16日。 内容里提到,受影响的版本是0.9.8.1208及之前版本。漏洞描述中说,用户通过GET参数“key”传递到/admin/index.php的输入没有被正确过滤,导致操作系统命令注入。攻击者可以利用这一点执行任意命令,权限是root级别的。需要Softaculous或SitePad安装才能利用这个漏洞。 证明概念是一个URL,带有api=1和key参数,其中key包含命令。解决方案是升级到0.9.8.1209或更高版本。时间线显示漏洞在2025年12月3日被发现,修复版本在7月22日发布,CVE编号在之后申请和分配,并于12月16日公开披露。 CVE参考是CVE-2025-67888,发现者是Egidio Romano。原始咨询链接也给了出来。 现在要总结这些内容到100字以内。我需要抓住关键点:软件名称、漏洞类型、影响版本、攻击方式、权限级别、利用条件、修复方法和CVE编号。 可能的结构:Control Web Panel存在OS命令注入漏洞,影响到<=0.9.8.1208版本。攻击者通过未过滤的key参数执行命令,需Softaculous或SitePad安装。建议升级到新版本,并有CVE编号。 检查字数是否在限制内,并确保所有关键信息都被涵盖。 </think> Control Web Panel <= 0.9.8.1208 存在 OS 命令注入漏洞,攻击者可通过未过滤的 "key" 参数执行任意系统命令,需 Softaculous 或 SitePad 安装支持。建议升级至 0.9.8.1209 或以上版本以修复问题(CVE-2025-67888)。 2025-12-18 06:52:21 Author: seclists.org(查看原文) 阅读量:18 收藏
嗯,用户让我帮忙总结一篇文章,控制在100字以内,而且不需要特定的开头。首先,我得仔细阅读这篇文章的内容。 文章标题是“Control Web Panel <= 0.9.8.1208 (admin/index.php) OS Command Injection Vulnerability”,看起来这是一个关于控制面板软件的漏洞。作者是Egidio Romano,日期是2025年12月16日。 内容里提到,受影响的版本是0.9.8.1208及之前版本。漏洞描述中说,用户通过GET参数“key”传递到/admin/index.php的输入没有被正确过滤,导致操作系统命令注入。攻击者可以利用这一点执行任意命令,权限是root级别的。需要Softaculous或SitePad安装才能利用这个漏洞。 证明概念是一个URL,带有api=1和key参数,其中key包含命令。解决方案是升级到0.9.8.1209或更高版本。时间线显示漏洞在2025年12月3日被发现,修复版本在7月22日发布,CVE编号在之后申请和分配,并于12月16日公开披露。 CVE参考是CVE-2025-67888,发现者是Egidio Romano。原始咨询链接也给了出来。 现在要总结这些内容到100字以内。我需要抓住关键点:软件名称、漏洞类型、影响版本、攻击方式、权限级别、利用条件、修复方法和CVE编号。 可能的结构:Control Web Panel存在OS命令注入漏洞,影响到<=0.9.8.1208版本。攻击者通过未过滤的key参数执行命令,需Softaculous或SitePad安装。建议升级到新版本,并有CVE编号。 检查字数是否在限制内,并确保所有关键信息都被涵盖。 </think> Control Web Panel <= 0.9.8.1208 存在 OS 命令注入漏洞,攻击者可通过未过滤的 "key" 参数执行任意系统命令,需 Softaculous 或 SitePad 安装支持。建议升级至 0.9.8.1209 或以上版本以修复问题(CVE-2025-67888)。 2025-12-18 06:52:21 Author: seclists.org(查看原文) 阅读量:18 收藏
Full Disclosure mailing list archives
From: Egidio Romano <n0b0d13s () gmail com>
Date: Tue, 16 Dec 2025 11:36:47 +0100
------------------------------------------------------------------------------------ Control Web Panel <= 0.9.8.1208 (admin/index.php) OS Command Injection Vulnerability ------------------------------------------------------------------------------------ [-] Software Link: https://control-webpanel.com [-] Affected Versions: Version 0.9.8.1208 and prior versions. [-] Vulnerability Description: User input passed via the "key" GET parameter to /admin/index.php (when the "api" parameter is set) is not properly sanitized before being used to execute OS commands. This can be exploited by unauthenticated attackers to inject and execute arbitrary OS commands with the privileges of the root user on the web server. Successful exploitation of this vulnerability requires "Softaculous" and/or "SitePad" to be installed through the Scripts Manager. [-] Proof of Concept: https://[CWP]/admin/index.php?api=1&key=$(cmd) [-] Solution: Upgrade to version 0.9.8.1209 or later. [-] Disclosure Timeline: [12/03/2025] - Vulnerability discovered [22/07/2025] - Version 0.9.8.1209 released, issue fixed by the vendor [12/11/2025] - CVE identifier requested [12/12/2025] - CVE identifier assigned [16/12/2025] - Public disclosure [-] CVE Reference: The Common Vulnerabilities and Exposures program (cve.org) has assigned the name CVE-2025-67888 to this vulnerability. [-] Credits: Vulnerability discovered by Egidio Romano. [-] Original Advisory: http://karmainsecurity.com/KIS-2025-09 _______________________________________________ Sent through the Full Disclosure mailing list https://nmap.org/mailman/listinfo/fulldisclosure Web Archives & RSS: https://seclists.org/fulldisclosure/
Current thread:
- [KIS-2025-09] Control Web Panel <= 0.9.8.1208 (admin/index.php) OS Command Injection Vulnerability Egidio Romano (Dec 17)
文章来源: https://seclists.org/fulldisclosure/2025/Dec/25
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh