美國網路安全暨基礎設施安全局(CISA)將兩個漏洞列入已知遭利用漏洞(KEV)目錄。其中編號
CVE-2025-48703 的漏洞影響 Control Web Panel(CWP),為一款專門用於管理 CentOS 或基於 CentOS 發行版伺服器的網頁託管控制面板。CISA 要求聯邦機構必須在 11 月 25 日前修補漏洞或停用該產品。
另一個漏洞
CVE-2025-11371 早在今年 10 月就被報導遭到利用,但 CVE-2025-48703 的攻擊活動直到近期才被網路安全專業人員偵測到。目前觀察到的攻擊範圍相對較小。
什麼是 CWP?
CWP 是一款伺服器管理軟體,可運行在 CentOS 系統上。由於 CentOS 已在 2020 年底停止開發,CWP 目前也支援其社群驅動的後繼版本 Rocky Linux 和 AlmaLinux。
使用者可選擇免費版本或付費的 Pro 版本。免費版提供單一伺服器管理的核心功能,Pro 版則具備更完善的安全性、自動更新和改良的技術支援。這款軟體深受虛擬私有伺服器(VPS)和專用伺服器業者歡迎,可用於管理網頁伺服器、資料庫、郵件伺服器、DNS 及各種安全功能。
漏洞技術細節
CVE-2025-48703 是一個嚴重的作業系統命令注入(OS Command Injection)漏洞。攻擊者可在檔案管理員 changePerm 請求的 t_total 參數中插入 shell 特殊字元,無需身分驗證即可遠端執行程式碼。
根據漏洞的 CVSS 評分字串顯示,這個漏洞可透過網路遠端利用,不需要事前驗證或使用者互動,但利用難度並不低。
滲透測試公司 Fenrisk 共同創辦人 Maxime Rinaudo 解釋,攻擊者必須知道或猜測一個有效的非 root 使用者名稱,才能繞過身分驗證並利用 CVE-2025-48703。然而,這類使用者名稱通常容易預測,這也是令人擔憂之處。
攻擊手法
攻擊者向使用者檔案管理員端點(filemanager&acc=changePerm)發送包含特製 t_total 值的 HTTPS 請求,即可觸發此漏洞。成功利用後,攻擊者能以本地使用者身分執行命令,進而植入網頁後門(web shell)、建立持久性存取、橫向移動,或利用本地配置錯誤進一步提升權限。
這個漏洞有兩個根本原因。第一,檔案管理員的 changePerm 端點在省略個別使用者識別碼時仍會處理請求,使未經驗證的請求能夠觸及原本只有登入使用者才能存取的程式碼。第二,t_total 參數作為 chmod 系統命令中的檔案權限模式,在傳入 shell 命令時未經適當淨化,因此允許 shell 注入和任意命令執行。
漏洞披露時程
Rinaudo 在 5 月 13 日向 CWP 回報此漏洞,官方於 6 月 18 日釋出 0.9.8.1205 版本進行修補。研究人員在 6 月底公開技術文件和概念驗證(PoC)程式碼後,其他 PoC exploit 也陸續出現在 GitHub 上。攻擊者開始利用此漏洞只是時間問題。
FindSec 研究人員在 7 月注意到「exploit 正在駭客論壇中被積極開發和分享」,並建議使用 CWP 管理 Linux 網頁託管環境的組織應儘速修補。
根據 Shodan 統計,目前有超過 22 萬個面向網際網路的 CWP 實例。不過,目前仍不清楚其中有多少仍在執行存在漏洞的版本。CVE-2025-48703 影響 2025 年 6 月釋出的 0.9.8.1205 版本之前的所有 CWP 版本。
防護建議
使用者應採取以下措施:
- 升級至 0.9.8.1205 或更新版本
- 限制 2083 埠(使用者介面)的存取權限,僅允許信任的 IP 位址連線
- 檢查是否有入侵跡象,包括:意外的反向 shell 連線、日誌中可疑的 chmod 執行記錄、新增或修改的 .bashrc、.ssh 或 cron 項目、與陌生 IP 位址的連線,以及未知的使用者帳號。若發現異常,應立即隔離主機、保存日誌並進行數位鑑識調查
- 部署入侵偵測系統(IDS)以偵測或阻擋利用嘗試
雖然 CISA 的 KEV 目錄主要針對美國聯邦機構,但所有組織都應持續關注該目錄,並優先修補其中列出的漏洞。
本文轉載自 HelpNetSecurity、BleepingComputer。