SK-CERT Bezpečnostné varovanie V20240722-07

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP:CLEAR
CVSS Skóre	10.0

Identifikátor

1Panel – dve kritické bezpečnostné zraniteľnosti

Popis

Vývojári nástroja 1Panel slúžiaceho na správu linuxového servera, vydali bezpečnostnú aktualizáciu svojho produktu, ktorá opravuje dve kritické bezpečnostné zraniteľnosti. Najzávažnejšia kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2024-39911 spočíva v nedostatočnej implementácii bezpečnostných mechanizmov funkcie User-Agent a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom SQL injekcie vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. Zneužitím druhej bezpečnostnej zraniteľnosti možno vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. Na uvedené zraniteľnosti je v súčasnosti voľne dostupný Proof-of-Concept kód.

Dátum prvého zverejnenia varovania

18.7.2024

CVE

CVE-2024-39911 , CVE-2024-39907

IOC

–

Zasiahnuté systémy

1Panel vo verzii staršej ako 1.10.12-lts

Následky

Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania

Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.

Zdroje

https://www.cvedetails.com/cve/CVE-2024-39911/ https://www.cvedetails.com/cve/CVE-2024-39907/ https://github.com/1Panel-dev/1Panel/security/advisories/GHSA-7m53-pwp6-v3f5 https://github.com/1Panel-dev/1Panel/security/advisories/GHSA-5grx-v727-qmq6

« Späť na zoznam