Se ha reportado un nuevo aviso de seguridad sobre cuatro vulnerabilidades Zero Day que afectan a Control Web Panel, que permitirían a un atacante realizar inyección de comandos, ejecución remota de código (RCE), entre otros.
Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Crítica” y 3 (tres) de severidad “Alta”. Las mismas se detallan a continuación:
- CVE-2023-42121, de severidad “Crítica” y con puntuación asignada de 9.8. Esta vulnerabilidad Zero Day se debe a una falla en la implementación de autenticación al asignar los accesos a funcionalidades en la interfaz web de Control Web Panel. Esto permitiría a un actor malicioso remoto obtener acceso ilimitado, realizar ejecución de código arbitrario en el contexto de un usuario válido y potencialmente provocar daños en el sistema afectado.
- CVE-2023-42120 y CVE-2023-42123, ambas de severidad “Alta” y con puntuación asignada de 8.8. Estas vulnerabilidades Zero Day del tipo Command Injection se deben a falla de validación de entrada de usuario en los módulos dns_zone_editor y mysql_manager en Control Web Panel. Esto permitiría a un actor malicioso remoto y autenticado realizar ejecución de código arbitrario en el contexto de root.
- CVE-2023-42122, de severidad “Alta” y con puntuación asignada de 7.8. Esta vulnerabilidad Zero Day del tipo Command Injection se debe a una falla de seguridad en el proceso cwpsrv, que escucha en la interfaz loopback de Control Web Panel. Esto permitiría a un actor malicioso que obtuvo acceso con privilegios potencialmente escalar privilegios y realizar ejecución arbitraria de código en el contexto de root.
El producto afectado es:
- Control Web Panel, versiones 7.x previas a 7-0.9.8.1170.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace:
Referencias:
- https://securityonline.info/cve-2023-42121-critical-control-web-panel-rce-vulnerability/#google_vignette
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-42121
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-42120
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-42123
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-42122
- https://www.zerodayinitiative.com/advisories/ZDI-23-1478/
- https://www.zerodayinitiative.com/advisories/ZDI-23-1477/
- https://www.zerodayinitiative.com/advisories/ZDI-23-1479/
- https://www.zerodayinitiative.com/advisories/ZDI-23-1476/
- https://control-webpanel.com/