개요
1 Panel 에서 발생하는 취약점을 해결하는 업데이트를 발표하였습니다. 해당하는 버전 사용자는 최신 버전으로 업데이트하시기 바랍니다.
대상 제품
CVE-2024-39907
- 1 Panel 버전: 1.10.9-lts
CVE-2024-39911
- 1 Panel 버전: 1.10.10-lts
해결된 취약점
orderBy 매개변수에서 사용자가 제공한 입력을 제대로 필터링하지 못해 발생하는 취약점(CVE-2024-39907)
User-Agent 처리를 통한 지정되지 않은 SQL 주입이 포함되어 있는 RCE 취약점(CVE-2024-39911)
취약점 패치
최신 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
CVE-2024-39907
- 1 Panel버전: 1.10.12-tls
CVE-2024-39911
- 1 Panel 버전: 1.10.12-lts
참고 사이트
[1] CVE-2024-39907 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-39907
[2] An SQL injection issue related to the orderBy clause
https://github.com/1Panel-dev/1Panel/security/advisories/GHSA-5grx-v727-qmq6
[3] CVE-2024-39911 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-39911
[4] 1Panel panel frontend SQL injection to website functionality RCE vulnerability
https://github.com/1Panel-dev/1Panel/security/advisories/GHSA-7m53-pwp6-v3f5