Vulnerabilidades de inyección de comandos y ejecución remota de código (RCE) en Control Web Panel

28/09/2023 Noticias 0

Se ha reportado un nuevo aviso de seguridad sobre cuatro vulnerabilidades Zero Day que afectan a Control Web Panel, que permitirían a un atacante realizar inyección de comandos, ejecución remota de código (RCE), entre otros. 

Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Crítica” y 3 (tres) de severidad “Alta”. Las mismas se detallan a continuación: 

  • CVE-2023-42121, de severidad “Crítica” y con puntuación asignada de 9.8. Esta vulnerabilidad Zero Day se debe a una falla en la implementación de autenticación al asignar los accesos a funcionalidades en la interfaz web de Control Web Panel. Esto permitiría a un actor malicioso remoto obtener acceso ilimitado, realizar ejecución de código arbitrario en el contexto de un usuario válido y potencialmente provocar daños en el sistema afectado. 
  • CVE-2023-42120 y CVE-2023-42123, ambas de severidad “Alta” y con puntuación asignada de 8.8. Estas vulnerabilidades Zero Day del tipo Command Injection se deben a falla de validación de entrada de usuario en los módulos dns_zone_editor  y mysql_manager en Control Web Panel. Esto permitiría a un actor malicioso remoto y autenticado realizar ejecución de código arbitrario en el contexto de root
  • CVE-2023-42122, de severidad “Alta” y con puntuación asignada de 7.8. Esta vulnerabilidad Zero Day del tipo Command Injection se debe a una falla de seguridad en el proceso cwpsrv, que escucha en la interfaz loopback de Control Web Panel. Esto permitiría a un actor malicioso que obtuvo acceso con privilegios potencialmente escalar privilegios y realizar ejecución arbitraria de código en el contexto de root. 

El producto afectado es: 

  • Control Web Panel, versiones 7.x previas a 7-0.9.8.1170. 

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace: 

Referencias: 

Compartir: