CVE-2025-54424

چکیده

یک آسیب‌پذیری با شدت بالا در نسخه‌های 2.0.5 و پایین‌تر از نرم‌افزار 1Panel شناسایی شده است که به دلیل ضعف در اعتبارسنجی گواهینامه HTTPS، امکان دسترسی غیرمجاز به رابط‌ها و اجرای کد از راه دور (RCE) را فراهم می‌کند.

توضیحات

نرم‌افزار 1Panel یک رابط وب و سرور MCP است که برای مدیریت وب‌سایت‌ها، فایل‌ها، کانتینرها، پایگاه‌های داده و مدل‌های یادگیری ماشین روی سرورهای لینوکس استفاده می‌شود. در نسخه‌های 2.0.5 و پایین‌تر، پروتکل HTTPS مورد استفاده برای ارتباط بین اندپوینت های Core و Agent، اعتبارسنجی ناقص گواهینامه را در فرآیند تأیید انجام می‌دهد. این آسیب پذیری باعث می‌شود که مهاجمان بتوانند به رابط‌های حساس با سطح دسترسی بالا یا رابط‌های اجرای دستور دسترسی پیدا کنند که منجر به اجرای کد از راه دور (RCE) می‌شود. این آسیب‌پذیری توسط تیم 1Panel-dev  شناسایی شده و در نسخه 2.0.6 پچ شده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

نتیجه گیری

به مدیران و کاربران توصیه می‌شود جهت جلوگیری از سوءاستفاده از این آسیب‌پذیری، هرچه سریع‌تر 1Panel  را به نسخه 2.0.6 یا بالاتر به‌روزرسانی کنند. همچنین بررسی تنظیمات امنیتی سرور و محدودسازی دسترسی‌های غیرضروری به‌شدت توصیه می‌شود.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-54424
2. https://www.cvedetails.com/cve/CVE-2025-54424/
3. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-54424
4. https://vuldb.com/?id.318577
5. https://github.com/1Panel-dev/1Panel/security/advisories/GHSA-8j63-96wh-wh3j
6. https://github.com/1Panel-dev/1Panel/pull/9698/commits/4003284521f8d31ddaf7215d1c30ab8b4cdb0261
7. https://github.com/1Panel-dev/1Panel/releases/tag/v2.0.6
8. https://nvd.nist.gov/vuln/detail/CVE-2025-54424
9. https://cwe.mitre.org/data/definitions/77.html