🔎 Cyberveille

Source: Fenrisk — Article technique décrivant une vulnérabilité d’exécution de code à distance dans CentOS Web Panel (CWP), ses conditions d’exploitation, une preuve de concept et la disponibilité d’un correctif.

• La vulnérabilité (CVE-2025-48703) combine un contournement d’authentification et une injection de commande dans le paramètre t_total du module « filemanager » (action changePerm). Le backend exécute un chmod via sh -c, rendant l’instruction injectable. Un attaquant non authentifié, connaissant un nom d’utilisateur non-root valide, peut ainsi exécuter des commandes arbitraires.

• Contexte produit: CentOS Web Panel (CWP) est un panneau d’administration pour serveurs Linux (CentOS/AlmaLinux/Rocky) exposant une interface admin (HTTPS, ports 2087/2031) et une interface utilisateur (port 2083), plus Roundcube sur 2096. Le code est protégé par ionCube, ce qui limite les méthodes classiques d’audit. En mai 2025, plus de 200 000 instances CWP étaient référencées sur Shodan (recherche « Server: cwpsrv »).

• Détails techniques: le point d’entrée vulnérable est l’URL du File Manager (module filemanager, action acc=changePerm) où l’authentification est insuffisamment vérifiée et le paramètre t_total (mode de permissions) est injecté dans une commande système. Des traces strace montrent l’appel sh -c "chmod ...", permettant l’injection via une substitution de commande. Une preuve de concept démontre l’obtention d’un shell avec les privilèges de l’utilisateur ciblé (ex. uid=1001(myuser)).

• Impact et périmètre: l’attaque permet une exécution de code arbitraire pré-authentification avec les droits de l’utilisateur Linux visé (non-root), sous réserve de connaître un identifiant utilisateur valide. Les versions testées vulnérables: 0.9.8.1188 et 0.9.8.1204 sur CentOS 7. Le correctif est disponible en 0.9.8.1205 (18/06/2025).

• Chronologie: 13/05/2025 notification éditeur → 23/05/2025 attribution CVE → 18/06/2025 patch publié.