Tin An Ninh Mạng

Phát hiện 4 lỗ hổng RCE nghiêm trọng trong Control Web Panel

Các lỗ hổng vừa được phát hiện trong Control Web Panel (CWP – bảng điều khiển lưu trữ web) có thể cho phép kẻ tấn công xâm phạm hệ thống và giành quyền truy cập vào dữ liệu nhạy cảm.

{

}

CWP.png

Lỗ hổng CVE-2023-42120: Lỗ hổng thực thi mã từ xa chèn lệnh

Lỗ hổng đầu tiên – CVE-2023-42120 – có điểm CVSS là 8,8, là lỗi trong mô-đun dns zone_editor, cho phép kẻ tấn công từ xa có khả năng thực thi mã tùy ý trên các phiên bản Control Web Panel bị ảnh hưởng.

Việc bỏ qua chuỗi xác thực đầu vào do người dùng cung cấp trước khi thực hiện lệnh gọi hệ thống đã tạo điều kiện cho tin tặc khai thác được lỗ hổng để thực thi mã từ xa với quyền root.

Lỗ hổng CVE-2023-42121: Lỗi Control Web Panel thiếu xác thực cho phép thực thi mã từ xa

Lỗ hổng tiếp theo – CVE-2023-42121 – có điểm CVSS cao chót vót là 9,8. Đây là một lỗi không xác thực trước khi cấp quyền truy cập vào chức năng trong giao diện web, do đó cho phép kẻ tấn công từ xa thực thi mã tùy ý trên các phiên bản bị ảnh hưởng của Control Web Panel.

Lỗ hổng CVE-2023-42122: Lỗi chèn lệnh leo thang đặc quyền cục bộ trong quy trình cwpsrv

Lỗ hổng này cho phép kẻ tấn công cục bộ thực hiện leo thang đặc quyền. Mặc dù yêu cầu kẻ tấn công cần phải có quyền thực thi mã trên hệ thống mục tiêu, nhưng lỗ hổng trong quy trình cwpsrv vẫn là một mối đe dọa đáng kể. Việc xác thực không đầy đủ đầu vào do người dùng cung cấp cho phép kẻ tấn công leo thang đặc quyền lên root.

Lỗ hổng CVE-2023-42123: Lỗ hổng thực thi mã từ xa chèn lệnh

Cuối cùng là lỗ hổng CVE-2023-42123 trong mô-đun trình quản lý mysql, cho phép kẻ tấn công từ xa thực thi mã tùy ý trên các bản cài đặt CWP bị ảnh hưởng. Lỗi này giống như lỗ hổng trong dns_zone_editor, cần phải xác thực để khai thác.

Người dùng sử dụng CWP được khuyến cáo phải cập nhật lên phiên bản phần mềm mới nhất càng sớm càng tốt để giảm thiểu nguy cơ trước các lỗ hổng an ninh này.

Nguồn: Security Online

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !