5b08cd6 이전의 CyberPanel(일명 Cyber Panel)에 있는 Database/views.py의 업그레이드mysqlstatus를 사용하면 원격 공격자가 인증을 우회하고 secMiddleware(POST 요청에만 해당)를 우회하고 상태 파일 속성에 셸 메타 문자를 사용하여 /dataBases/upgrademysqlstatus를 통해 임의 명령을 실행할 수 있습니다. 이는 2024년 10월 PSAUX가 실제로 악용한 것과 같습니다. 2.3.6 및 (패치되지 않은) 2.3.7 버전이 영향을 받습니다.
필수 조치
Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.
5b08cd6 이전의 CyberPanel(일명 Cyber Panel)에 있는 Database/views.py의 업그레이드mysqlstatus를 사용하면 원격 공격자가 인증을 우회하고 secMiddleware(POST 요청에만 해당)를 우회하고 상태 파일 속성에 셸 메타 문자를 사용하여 /dataBases/upgrademysqlstatus를 통해 임의 명령을 실행할 수 있습니다. 이는 2024년 10월 PSAUX가 실제로 악용한 것과 같습니다. 2.3.6 및 (패치되지 않은) 2.3.7 버전이 영향을 받습니다.