CyberPanel 是一款开源的 Web 控制面板，用于管理网站、电子邮件、数据库等。近日，奇安信 CERT 监测到官方修复 CyberPanel upgrademysqlstatus 远程命令执行漏洞 (QVD-2024-44346)，该漏洞源于 upgrademysqlstatus 接口未做身份验证和参数过滤，攻击者可利用该漏洞执行任意命令获取服务器权限，造成数据泄露、服务器被接管等严重后果。目前该漏洞技术细节与 EXP 已公开，影响范围较大，建议用户尽快做好自查及防护。

😱 **漏洞概述：** 该漏洞存在于 CyberPanel v2.3.5 和 v2.3.6 版本中，攻击者可利用 upgrademysqlstatus 接口未做身份验证和参数过滤的缺陷，执行任意命令获取服务器权限。

💻 **影响范围：** 该漏洞影响使用 CyberPanel v2.3.5 和 v2.3.6 版本的用户，奇安信鹰图资产测绘平台数据显示，国内关联风险资产总数为 12289 个，关联 IP 总数为 4316 个。

🛡️ **处置建议：** 官方已发布 v2.3.7 及更高版本修复该漏洞，建议受影响用户尽快升级至最新版本。

🌐 **参考资料：** 官方下载地址：https://github.com/usmannasir/cyberpanel/tree/v2.3.7

漏洞概述
漏洞名称	CyberPanel upgrademysqlstatus 远程命令执行漏洞
漏洞编号	QVD-2024-44346
公开时间	2024-10-27	影响量级	万级
奇安信评级	高危	CVSS 3.1分数	9.8
威胁类型	命令执行	利用可能性	高
POC状态	已公开	在野利用状态	未发现
EXP状态	已公开	技术细节状态	已公开
危害描述：未授权的攻击者可以通过此接口执行任意命令获取服务器权限，从而造成数据泄露、服务器被接管等严重的后果。

01 漏洞详情

影响组件

CyberPanel是一个开源的Web控制面板，它提供了一个用户友好的界面，用于管理网站、电子邮件、数据库、FTP账户等。CyberPanel旨在简化网站管理任务，使非技术用户也能轻松管理自己的在线资源。

漏洞描述

近日，奇安信CERT监测到官方修复CyberPanel upgrademysqlstatus 远程命令执行漏洞(QVD-2024-44346)，该漏洞源于upgrademysqlstatus接口未做身份验证和参数过滤，未授权的攻击者可以通过此接口执行任意命令获取服务器权限，从而造成数据泄露、服务器被接管等严重的后果。目前该漏洞技术细节与EXP已在互联网上公开，鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

02 影响范围

影响版本

CyberPanel v2.3.5

CyberPanel v2.3.6

其他受影响组件

无

03 复现情况

目前，奇安信威胁情报中心安全研究员已成功复现CyberPanel upgrademysqlstatus 远程命令执行漏洞(QVD-2024-44346)安全风险通告，截图如下：

04 受影响资产情况

奇安信鹰图资产测绘平台数据显示，CyberPanel upgrademysqlstatus 远程命令执行漏洞(QVD-2024-44346)关联的国内风险资产总数为12289个，关联IP总数为4316个。国内风险资产分布情况如下：

CyberPanel upgrademysqlstatus 远程命令执行漏洞(QVD-2024-44346)关联的国内风险资产总数为241306个，关联IP总数为52719个。全球风险资产分布情况如下：

05 处置建议

安全更新

目前官方已有可更新版本，建议受影响用户升级至最新版本：

CyberPanel >= v2.3.7

官方下载地址：

https://github.com/usmannasir/cyberpanel/tree/v2.3.7

06 参考资料

[1]https://dreyand.rs/code/review/2024/10/27/what-are-my-options-cyberpanel-v236-pre-auth-rce

声明：本文来自奇安信 CERT，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。