CyberPanel upgrademysqlstatus 远程命令执行漏洞

• 漏洞编号：CVE-2024-51567
  
• 漏洞类型：命令执行
• 漏洞等级：高危
• 发布时间：2024-10-27

漏洞描述：

CyberPanel是一个开源的Web控制面板，它提供了一个用户友好的界面，用于管理网站、电子邮件、数据库、FTP账户等。CyberPanel旨在简化网站管理任务，使非技术用户也能轻松管理自己的在线资源。

监测到官方修复CyberPanel upgrademysqlstatus 远程命令执行漏洞(QVD-2024-44346)，该漏洞源于upgrademysqlstatus接口未做身份验证和参数过滤，未授权的攻击者可以通过此接口执行任意命令获取服务器权限，从而造成数据泄露、服务器被接管等严重的后果。目前该漏洞技术细节与EXP已在互联网上公开，鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

影响版本：

修复建议

官方已发布新版本中修复上述漏洞，受影响用户请尽快升级到安全版本。
漏洞修复版本：

CyberPanel >= v2.3.7

官方下载地址：

https://github.com/usmannasir/cyberpanel/tree/v2.3.7

参考链接:
https://dreyand.rs/code/review/2024/10/27/what-are-my-options-cyberpanel-v236-pre-auth-rce