O control web panel é um painel de controlo de Linux open-source para servidores e VPS (servidores virtuais privados) que permite uma gestão mais facilitada de ambientes de web hosting.

Este problema foi seguido pelo CVE-2021-4546, tratando-se de uma flaha de inclusão de ficheiros, pela qual a aplicação web podia ser levada a expor ou correr ficheiros arbitrários no servidor web. Para descobrirem esta falha, os investigadores focaram-se nas secções do painel que não requeriam qualquer tipo de autenticação no webroot, incluindo ficheiros como /user/loader.php e /user/index.php.

Onde estava a falha?

Apesar de as funções de php como require() e include() terem restrições no que toca ao processamento de expressões como "/.%00/", avaliadas como caracteres nulos em cibersegurança, o interpretador de PHP aceitava pedidos de strings especialmente criados como ".$00", e dessa forma o atacante podia fazer o bypass a qualquer tipo de restrição.

A API

Falando da API do produto, mais especificamente, esta falha de inclusão de ficheiro podia também ser usada para chegar às restrições da API, que requer uma chave de acesso e não está exposta no webroot. Articulando esta falha com a possibilidade de escrita ou criação de ficheiro - CVE-2021-45466 - podia levar à possibilidade de execução de código remota no servidor.

Solução

- Atualizar o produto para a versão 0.9.8.1120

Versões do produto: https://control-webpanel.com/changelog

Mais informações pelo blogpost dos investigadores: https://octagon.net/blog/2022/01/22/cve-2021-45467-cwp-centos-web-panel-preauth-rce/