北京赛克艾威科技有限公司 2026-04-07
Cockpit 是一款面向 GNU/Linux 服务器的 Web 化管理工具,通过浏览器提供图形化运维能力,支持网络配置、系统日志查看、服务启停、SELinux 排查、终端命令交互等核心运维操作,可实现本地与远程服务器集中管控,广泛用于企业服务器、云主机与边缘节点的轻量化管理,默认集成于 RHEL、Fedora 等主流发行版,降低 Linux 服务器运维门槛。 该漏洞源于远程登录模块将 Web 端传入的用户名、主机名未经校验直接拼接为 SSH 命令行参数,且未使用\-\-分隔符隔离选项与目标参数。攻击者无需身份凭证,仅构造恶意 HTTP 请求即可触发 SSH 参数注入,在目标服务器上以服务权限执行任意系统命令,从而完全控制服务器。
暂无