关于CyberPanel远程命令执行漏洞（CVE-2024-51567）的安全预警

一、 基本情况

CyberPanel是一个基于OpenLiteSpeed的Web托管控制面板，它提供了直观的用户界面和简单易用的操作方式，使得用户可以轻松管理自己的网站和服务器。

二、 漏洞描述

CyberPanel中存在一个远程命令执行漏洞（CVE-2024-51567），该漏洞的CVSS评分为10.0。

由于upgrademysqlstatus接口缺乏适当的身份验证检查以及对statusfile参数的输入验证和清理，未经身份验证的攻击者可构造特制请求将恶意命令注入到 statusfile 参数字段，利用该漏洞远程执行任意命令，成功利用可能导致数据泄露或执行未授权操作。

三、 影响范围

CyberPanel v2.3.6

四、 修复建议

目前官方已发布更新版本，受影响用户可升级到CyberPanel v2.3.7或更高版本。

下载链接：

https://github.com/usmannasir/cyberpanel/tree/v2.3.7

五、 参考链接

https://dreyand.rs/code/review/2024/10/27/what-are-my-options-cyberpanel-v236-pre-auth-rce

https://github.com/usmannasir/cyberpanel