• 漏洞编号：CVE-2024-51378
• 漏洞等级：严重
• 漏洞标签：在野利用、0day漏洞、POC公开、PSAUX 勒索软件、关键漏洞、C3RB3R、EXP公开、Babuk、CISA KEV、影响十万级
• 发布时间：2024-10-29

漏洞描述

在 CyberPanel（也称为 Cyber Panel）的 dns/views.py 和 ftp/views.py 中的 getresetstatus 函数，在 1c0c6cb 之前的版本中，允许远程攻击者绕过认证并执行任意命令。攻击者可以通过 /dns/getresetstatus 或 /ftp/getresetstatus 绕过仅适用于 POST 请求的 secMiddleware，并在 statusfile 属性中使用 shell 元字符，正如 PSAUX 在 2024 年 10 月在野外利用的那样。受影响的版本包括 2.3.6 之前的版本以及未修补的 2.3.7 版本。

修复建议

暂无

参考链接

https://ti.qianxin.com/vulnerability/detail/378104