一、漏洞详情

CyberPanel是一个基于OpenLiteSpeed的Web托管控制面板。

近日，监测到CyberPanel中存在一个远程命令执行漏洞（CVE-2024-51567），由于upgrademysqlstatus接口缺乏适当的身份验证检查以及对statusfile参数的输入验证和清理，未经身份验证的攻击者可构造特制请求将恶意命令注入到statusfile参数字段，利用该漏洞远程执行任意命令，成功利用可能导致数据泄露或执行未授权操作。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

CyberPanel v2.3.6

三、修复建议

目前官方已发布更新版本，受影响用户可升级到CyberPanel v2.3.7或更高版本。