CVE-2025-48703

CWP Control Web Panel

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-11-04

Официальное описание

CWP Control Web Panel (formerly CentOS Web Panel) contains an OS command Injection vulnerability that allows unauthenticated remote code execution via shell metacharacters in the t_total parameter in a filemanager changePerm request. A valid non-root username must be known.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость CVE-2025-48703 в CWP Control Web Panel (ранее CentOS Web Panel) представляет собой критическую ошибку внедрения команд операционной системы (OS Command Injection).

  • Вектор атаки: Неаутентифицированный удаленный злоумышленник может выполнить произвольный код (RCE) на сервере.
  • Уязвимый компонент: Обработчик запросов filemanager changePerm.
  • Уязвимый параметр: t_total. Система некорректно фильтрует метасимволы командной оболочки (например, ;, |, &&, $()) перед передачей значения этого параметра в системный вызов.
  • Условие эксплуатации: Для успешной атаки злоумышленнику необходимо знать имя любого существующего в системе пользователя (не root). Поскольку имена пользователей часто легко скомпрометировать или подобрать (например, через OSINT или перебор), риск эксплуатации крайне высок.
  • Влияние: Полная компрометация сервера, несанкционированный доступ к данным, возможность установки бэкдоров и дальнейшего продвижения по сети.

Как исправить

Единственным надежным способом устранения данной уязвимости является обновление CWP Control Web Panel до последней актуальной версии, в которой разработчики реализовали строгую санитизацию параметра t_total.

  1. Подключитесь к серверу по SSH с правами пользователя root.
  2. Запустите встроенный скрипт принудительного обновления CWP:
/scripts/update_cwp
  1. Дождитесь завершения процесса обновления.
  2. Перезапустите службу веб-панели для применения изменений:
systemctl restart cwpsrv
  1. Проверьте текущую версию панели в веб-интерфейсе или через консоль, чтобы убедиться, что обновление прошло успешно.

Временные меры

Если немедленное обновление невозможно, необходимо срочно применить компенсирующие меры для снижения риска эксплуатации:

  1. Ограничение доступа по IP-адресу (Network ACLs): Закройте доступ к портам панели управления (обычно 2030, 2031, 2082, 2083) для всего интернета и разрешите подключение только с доверенных IP-адресов администраторов. Пример для iptables (замените <TRUSTED_IP> на ваш реальный IP):
iptables -I INPUT -p tcp -m multiport --dports 2030,2031,2082,2083 -s <TRUSTED_IP> -j ACCEPT


iptables -A INPUT -p tcp -m multiport --dports 2030,2031,2082,2083 -j DROP

  1. Настройка Web Application Firewall (WAF): Если перед сервером установлен WAF (например, ModSecurity, Cloudflare), создайте кастомное правило, блокирующее любые HTTP-запросы к эндпоинту changePerm, если параметр t_total содержит спецсимволы оболочки: ;, |, &, $, `, <, >.

  2. Мониторинг и алертинг: Настройте SIEM или систему мониторинга логов на поиск подозрительных POST-запросов к URI, содержащим filemanager и changePerm. Обращайте особое внимание на запросы, возвращающие HTTP-статусы 200 или 500 при наличии спецсимволов в теле запроса.

  3. Аудит пользователей: Проверьте систему на наличие неиспользуемых или тестовых учетных записей (не root) и удалите их, так как они могут быть использованы злоумышленником для выполнения условия эксплуатации уязвимости.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей