![Kontrol Web Panelindeki Kritik Hatalar, Linux Sunucularını RCE Saldırılarına Maruz Bırakıyor](https://kilalu.blog/news/2024-08-01-03:24/Kontrol Web Panelindeki Kritik Hatalar, Linux Sunucularını RCE Saldırılarına Maruz Bırakıyor.jpg)
Araştırmacılar, iki kritik güvenlik açığının ayrıntılarını açıkladılar. Kontrol Web Paneli etkilenen sunucularda önceden doğrulanmış uzaktan kod yürütülmesini sağlamak için bir istismar zincirinin parçası olarak kötüye kullanılabilir.
olarak izlendi CVE-2021-45467, konu bir dava ile ilgilidir dosya ekleme güvenlik açığı, bir web uygulaması kandırılarak web sunucusunda rastgele dosyaları açığa çıkardığında veya çalıştırıldığında meydana gelir.
Kontrol Web Paneli, daha önce CentOS Web Paneli, web barındırma ortamlarını dağıtmak için kullanılan açık kaynaklı bir Linux kontrol paneli yazılımıdır.
Spesifik olarak sorun, uygulamada kullanılan kimliği doğrulanmamış iki PHP sayfası – “/user/login.php” ve “/user/index.php” – Octagon Networks’e göre bir komut dosyası yolunu yeterince doğrulamadığında ortaya çıkar. ‘ Paulos Yibelo, kim keşfetti ve rapor edildi kusurlar.
Bu, güvenlik açığından yararlanmak için bir saldırganın yapması gereken tek şeyin güvenlik açığını değiştirmek olduğu anlamına gelir. ifadeyi dahil et, bir PHP dosyasının içeriğini başka bir PHP dosyasına dahil etmek, uzak bir kaynaktan kötü amaçlı kod enjekte etmek ve kod yürütmeyi sağlamak için kullanılır.
![](https://teknomerscdn.cloudspecter.com/wp-content/uploads/2022/01/1642895192_882_Kontrol-Web-Panelindeki-Kritik-Hatalar-Linux-Sunucularini-RCE-Saldirilarina-Maruz.jpeg)
İlginç bir şekilde, uygulama bir üst dizine (“..” ile gösterilen) geçiş çabalarını “hack girişimi” olarak işaretlemek için korumalara sahipken, PHP yorumlayıcısının “. 00 dolar.” ve etkili bir şekilde tam bir baypas elde etmek.
Bu, yalnızca kötü bir aktörün kısıtlı API uç noktalarına erişmesine izin vermekle kalmaz, isteğe bağlı bir dosya yazma güvenlik açığı ile birlikte kullanılabilir (CVE-2021-45466) aşağıdaki gibi sunucuda tam uzaktan kod yürütme elde etmek için —
- Kötü amaçlı API anahtarı eklemek için boş bayt destekli dosya ekleme yükü gönderin
- Bir dosyaya yazmak için API anahtarını kullanın (CVE-2021-45466)
- Az önce yazdığımız dosyayı eklemek için 1. adımı kullanın (CVE-2021-45467)
Sorumlu açıklamanın ardından, kusurlar o zamandan beri CWP yöneticileri tarafından güncellemeler gönderildi bu aydan daha erken.
Popular Articles
- 17 Jul Rizede büyük gerginlik
- 15 Aug Armağan Çağlayana Verdiği Cevaplarla Abdurrahman Dilipakı Hiç Tanımadığınızı Fark Edeceksiniz!
- 02 Aug Bucadaki Bekir Coşkun Heykeline Saldırı
- 23 Jul Kurbanlıkları ağır çeksin diye dışkıda bekletti - Son Dakika Haberler
- 25 Jul Neredeyse her yere gidebilecek Nissan X-Trail tanıtıldı. X-Trail Crawler özellikle arazi koşullarının üstesinden gelmek için yaratıldı
Latest Articles
- 29 Jul Toplama sağlayıcısı Eclipse, Solana uygulamalarının Polygon ile uyumlu olmasını sağlamak için yazılımı başlattı
- 05 Aug Apple, iPhone Mail Uygulaması Güvenlik Açığıyla İlgili Açıklama Yaptı
- 24 Jul Yayın, Amerika Birleşik Devletleri’nde TV üzerindeki baskıyı artırıyor
- 16 Aug Birinci sınıf Hyundai markasının BMW X5’in lüks bir analogu Rusya’da ortaya çıktı. Genesis GV80, 3,5 litrelik motor ve dört tekerlekten çekiş sistemiyle sunuluyor
- 25 Jul Realme 13 Pro 5G’nin Endonezya Sertifikasyon Web Sitesinde Görüldüğü ve Adını Doğruladığı Bildirildi