一、漏洞详情

Control Web Panel（CWP，以前是CentOS Web Panel），是一个开源的Linux控制面板软件，用于部署虚拟主机环境，并被超过20万台服务器使用。

本次披露的2个漏洞能够以root身份执行完整的预认证RCE，如下：

Control Web Panel文件包含漏洞(CVE-2021-45467)

Control Web Panel文件写入漏洞(CVE-2021-45466)

具体来说，当应用程序中使用的两个无需身份验证即可访问的PHP页面/user/login.php和/user/index.php未能充分验证一个脚本文件的路径时，将导致文件包含漏洞，成功利用此漏洞的攻击者不但能够访问受限制的API端点，还可以与任意文件写入漏洞(CVE-2021-45466)结合使用，可在服务器上实现远程代码执行。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、修复建议

目前这些漏洞已经修复，建议受影响用户及时升级更新到最新版本CWP7: 0.9.8.1120。

下载链接：https://control-webpanel.com/changelog