https://thehackernews.com/2022/01/critical-bugs-in-control-web-panel.html
これは、WebアプリケーションがだまされてWebサーバー上で任意のファイルを公開または実行した場合に発生します。
これにより、悪意のある攻撃者が制限されたAPIエンドポイントにアクセスできるようになるだけでなく、任意のファイル書き込みの脆弱性(CVE-2021-45466)と組み合わせて使用され、次のようにサーバー上で完全なリモートコード実行が可能になります—
APIキーを使用してファイルに書き込む(CVE-2021-45466)
手順1を使用して、書き込んだファイルを含めます(CVE-2021-45467)
コントロールWebパネルの重大なバグがLinuxサーバーをRCE攻撃にさらすnoreply@blogger.com(Ravie Lakshmanan)
security summary
コメント