1c0c6cb 이전의 dns/views.py 및 CyberPanel(일명 Cyber Panel)의 ftp/views.py의 getresetstatus를 사용하면 원격 공격자가 인증을 우회하고 secMiddleware(POST 요청에만 해당)를 우회하고 상태 파일 속성의 셸 메타 문자를 사용하여 /dns/getresetstatus 또는 /ftp/getresetstatus를 통해 임의 명령을 실행할 수 있습니다. 이는 2024년 10월 PSAUX가 실제로 악용한 것과 같습니다. 2.3.6 및 (패치되지 않은) 2.3.7 버전이 영향을 받습니다.
필수 조치
Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.
1c0c6cb 이전의 dns/views.py 및 CyberPanel(일명 Cyber Panel)의 ftp/views.py의 getresetstatus를 사용하면 원격 공격자가 인증을 우회하고 secMiddleware(POST 요청에만 해당)를 우회하고 상태 파일 속성의 셸 메타 문자를 사용하여 /dns/getresetstatus 또는 /ftp/getresetstatus를 통해 임의 명령을 실행할 수 있습니다. 이는 2024년 10월 PSAUX가 실제로 악용한 것과 같습니다. 2.3.6 및 (패치되지 않은) 2.3.7 버전이 영향을 받습니다.