개요
CyberPanel 에서 발생하는 취약점을 해결하는 보안 업데이트를 발표하였습니다. 해당하는 제품 사용자는 최신 버전으로 업데이트 하시기 바랍니다.
대상 제품
CVE-2024-51378, CVE-2024-51567
- CyberPanel 버전: ~ 2.3.6(포함)
- CyberPanel 버전: 패치되지 않은 2.3.7
CVE-2024-51568
- CyberPanel 버전: ~ 2.3.5(제외)
해결된 취약점
dns/views.py와 ftp/views.py에서 getresetstatus 함수의 보안 검증을 우회하여 원격 공격자가 임의의 명령을 실행할 수 있는 취약점(CVE-2024-51378)
databases/views.py에서 upgrademysqlstatus 함수의 보안 검증을 우회하여 원격 공격자가 임의의 명령을 실행할 수 있는 취약점(CVE-2024-51567)
ProcessUtilities.outputExecutioner()의 completePath를 통해 파일 매니저 업로드 기능을 악용한 명령어 삽입 취약점(CVE-2024-51568)
취약점 패치
최신 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
CVE-2024-51378, CVE-2024-51567
- CyberPanel 버전: 2.3.7
CVE-2024-51568
- CyberPanel 버전: 2.3.5
참고 사이트
[1] CVE-2024-51378 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-51378
[2] CVE-2024-51567 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-51567
[3] CVE-2024-51568 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-51568
[4] Details and fix of recent security issue and patch of CyberPanel
https://cyberpanel.net/blog/detials-and-fix-of-recent-security-issue-and-patch-of-cyberpanel
[5] Change Logs
https://cyberpanel.net/KnowledgeBase/home/change-logs/
[6] CyberPanel v2.3.5 and Security Release Announcement