top of page

Falha crítica no CloudPanel com POC lançado




O CloudPanel é um gestor de servidores gratuito e moderno que permite a gestão dos mesmos e a sua configuração de forma fácil. Foi recentemente descoberta uma falha que permite fazer bypass à autenticação e aceder ao sistema de ficheiros - CVE-2023-35885


Versões afetadas

- anteriores à 2.3.1


A falha existe porque o software não lança sessão de autenticação, sendo que o atacante pode simplesmente gerar um cookie, clp-fm, com uma chave secreta por defeito para ter acesso ao sistema.


Solução

  • Atualizar para o CloudPanel version 2.3.1 or later.

  • Ativar a autenticação da sessão para o gestor de ficheiros.

  • Usar uma secret key forte para o cookie.

  • Manter o cookie atualizado.


Fazer a atualização: https://www.cloudpanel.io/docs/v2/changelog/

Exploit: https://github.com/datackmy/FallingSkies-CVE-2023-35885

Comments


POSTS RECENTES:
PROCURE POR TAGS:
bottom of page