В Банке данных угроз безопасности информации (BDU) был зарегистрирован новый опасный дефект, затрагивающий популярную панель управления серверами Control Web Panel (CWP), которая ранее была известна под названием CentOS Web Panel. Уязвимость получила идентификатор BDU:2026-05924 (CVE-2025-70951) и была классифицирована как критическая. Оценка по шкале CVSS 3.1 составила 9 из 10 возможных, что автоматически привлекает пристальное внимание специалистов по защите информации.
Детали уязвимости
Ошибка кроется в модуле add-ons, то есть в компоненте для установки дополнительных расширений. Разработчики не предусмотрели должной фильтрации входящих данных, что привело к появлению классической атаки внедрения команд операционной системы (ошибка CWE-78). Иными словами, злоумышленник, не имеющий учётной записи на сервере, может через определённые запросы к веб-интерфейсу добиться выполнения произвольных команд операционной системы. Причём эти команды будут выполняться с привилегиями, которые имеют компоненты панели управления.
Под удар попали несколько версий продукта: 0.9.8.1218, 0.9.8.1219 и 0.9.8.1222. Учитывая, что CWP широко применяется хостинг-провайдерами и системными администраторами для централизованного управления веб-серверами, количество потенциально уязвимых установок может быть значительным. Впрочем, разработчики уже выпустили исправление в версии 0.9.8.1224, и настоятельно рекомендуется как можно скорее провести обновление.
Стоит отметить, что эксплойт уже существует в открытом доступе. Это многократно повышает риски для тех, кто ещё не закрыл уязвимость. При этом способ эксплуатации не требует аутентификации: вектор атаки по классификации CVSS выглядит как AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H. Это означает, что атака осуществляется удалённо через сеть, требует сравнительно высокой сложности (то есть злоумышленнику нужно хорошо разбираться в структуре панели), но не нуждается в предварительном получении доступа к учётной записи. При успешной реализации можно полностью скомпрометировать сервер: похитить данные, изменить конфигурацию, установить вредоносное программное обеспечение или вызвать отказ в обслуживании.
Возникает закономерный вопрос: почему уязвимость получила такой высокий рейтинг опасности, несмотря на высокую сложность эксплуатации? Ответ кроется в последствиях. Если атакующий сможет выполнить команды на сервере под учётной записью веб-сервера, он получает полный контроль не только над панелью CWP, но и над всеми сайтами и базами данных, которые через неё управляются. Для хостинг-компании такой инцидент может обернуться утечкой тысяч паролей, ключей API, конфигураций баз данных и коммерческой информации. Кроме того, скомпрометированный сервер зачастую используют как точку входа в корпоративную сеть или как базу для атак на другие системы.
На данный момент статус уязвимости подтверждён производителем. На странице changelog на официальном сайте Control Web Panel указано, что в версии 0.9.8.1224 дефект устранён. Поэтому единственным надёжным способом защиты остаётся немедленное обновление. При этом стоит проверить, не появились ли на сервере подозрительные процессы, не изменились ли файлы конфигурации и не были ли созданы новые учётные записи. Поскольку эксплойт уже опубликован, злоумышленники вряд ли станут ждать.
Важно понимать, что подобные уязвимости в панелях управления серверами - не редкость. Например, аналогичные проблемы внедрения команд в CWP обнаруживались и ранее, в версиях 0.9.8.1147 и 0.9.8.1210. Каждый раз разработчики закрывали дыру, но коренная причина - недостаток фильтрации ввода данных в модулях расширений - остаётся хронической. Именно поэтому специалистам по безопасности настоятельно рекомендуют минимизировать количество установленных дополнений и тщательно проверять их код перед установкой. В данном случае уязвимость присутствовала непосредственно в штатном модуле панели, что говорит о необходимости базового аудита безопасности самого ядра CWP.
Ссылки
- https://bdu.fstec.ru/vul/2026-05924
- https://www.cve.org/CVERecord?id=CVE-2025-70951
- https://fenrisk.com/rce-centos-webpanel-2
- https://www.securitylab.ru/news/571234.php
- https://control-webpanel.com/changelog
