In der Control-Panel-Software CyberPanel zur Verwaltung von (Web-)Servern wurden zwei Sicherheitslücken gemeldet. Sie erlauben Angriffe mit Cross-Site-Scripting oder das Einschleusen von Schadcode.
Anzeige
Eine der Sicherheitslücken ermöglicht Cross-Site-Scripting mittels Token oder Nutzernamen in plogical/phpmyadminsignin.php (CVE-2024-56112). Nutzern kann dadurch etwa mit manipulierten Links Code untergeschoben werden, der in ihrem Kontext ausgeführt wird. Die Entwickler haben die Lücke am 11. November im Quellcode gefixt.
Das zweite Sicherheitsleck betrifft CyberPanel vor Version 2.3.8 und erlaubt bösartigen Akteuren, nach Log-in in der Software beliebige Befehle mit Shell-Meta-Zeichen im phpSelection-Feld von der websites/submitWebsiteCreation-URI einzuschleusen und auszuführen (CVE-2024-53376).
Die Version 2.3.8 von CyberPanel erschien bereits am 1. November. Die Cross-Site-Scripting-Lücke ist in Version 2.3.9 offenbar nicht mehr dabei, ohne jedoch explizit im Changelog aufgeführt zu werden – dasselbe gilt jedoch auch für die Befehlsschmuggel-Lücke, die bereits die Vorgängerversion abdichtet.
Eine Risiko-Einschätzung der Schwachstellen ist den CVE-Einträgen noch nicht zu entnehmen. Das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) errechnet jedoch einen CVSS-Wert von 8.8, was einem hohen Risiko entspricht und nur knapp an der höchsten Risikoeinstufung "kritisch" vorbeischrammt.
IT-Verantwortliche mit CyberPanel-Installationen sollten zügig das Upgrade anstoßen, um die jüngste Softwareversion mit Sicherheitsflicken einzurichten und so die Angriffsfläche auf ihr Netzwerk zu reduzieren.
Ende November wurden Angriffe der Ransomwarebande PSAUX auf Server mit CyberPanel bekannt. Sie haben versucht, zwei als kritisches Risiko eingestufte Schwachstellen in der Control-Panel-Software auszunutzen. Dabei seien rund 22.000 Instanzen attackiert worden. Die Lücken hatte die Version 2.3.8 von CyberPanel geschlossen.
(
Kommentare