遵纪守法
任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益。
漏洞描述
CloudPanel是一个开源的服务器管理控制面板,它的设计是快速、易用、可定制的。 这款软件支持管理域名、Linux服务、Cron作业、FTP服务、通过IP和Bots拦截实现系统安全、用户管理、云平台支持等等。2.3.1 之前的 CloudPanel 2 具有不安全的文件管理器 cookie 身份验证。
风险等级
高
影响版本
CloudPanel v2.0.0 – v2.3.0
资产确定
title="CloudPanel"
漏洞详情
在 「/home/clp/htdocs/app/files/public/file-manager/backend.php」中
以下是接收加密后的clp-fm cookie值的流程
然后,我们看到该值将被反序列化。注意此处,成功解密的 cookie 还会导致另一个漏洞,攻击者可以滥用序列化字符串以获得进一步的后利用机会。这包括但不限于远程代码执行、本地文件泄露等等。
反序列化的值被称为对象,即要传递给变量 $user 的用户值
这部分是漏洞发生的地方——访问中断。因此,它只需要 「clp-fm」 cookie 来对其进行身份验证,以便继续进入文件管理器。成功解密的 cookie 会将进程传递到后端,以获得对文件管理器的不受限制的访问。从那时起,通过利用该功能获取用户「clp(root access) ,」攻击升级为更严重的威胁。
成功解密的 「clp-fm」 cookie,其中包含一个变量,用户可以在服务器中输入任何用户名。我们选择“ 「clp」 ”,因为本质上是默认的。用户“ 「clp」 ”具有 sudo 权限才能获得root。
POC
https://github.com/datackmy/FallingSkies-CVE-2023-35885
修复建议
及时升级版本
https://www.cloudpanel.io/docs/v2/changelog/
原文始发于微信公众号(CKCsec安全研究院):CVE-2023-35885 Cloudpanel 0day