A agência norte-americana Cybersecurity & Infrastructure Security Agency (CISA) alertou que hackers estão explorando uma vulnerabilidade crítica de execução remota de comandos no CentOS Web Panel (CWP).
O órgão incluiu essa falha em seu catálogo Known Exploited Vulnerabilities (KEV) e estabeleceu o prazo até 25 de novembro para que entidades federais sujeitas à diretriz BOD 22-01 apliquem as atualizações de segurança disponíveis, adotem as mitigações fornecidas pelo fabricante ou suspendam o uso do produto.
Registrada como CVE-2025-48703, a vulnerabilidade permite que atacantes remotos não autenticados, que conheçam um nome de usuário válido em uma instância do CWP, executem comandos shell arbitrários com as permissões desse usuário.
O CWP é um painel de controle gratuito para hospedagem web em servidores Linux, promovido como alternativa open-source a soluções comerciais como cPanel e Plesk.
Ele é amplamente utilizado por provedores de hospedagem, administradores de sistemas e operadores de VPS ou servidores dedicados.
O problema afeta todas as versões do CWP anteriores à 0.9.8.1204 e foi demonstrado em ambiente CentOS 7 no final de junho pelo pesquisador em segurança Maxime Rinaudo, da Fenrisk.
Em análise técnica detalhada, o pesquisador explicou que a causa raiz está no endpoint ‘changePerm’ do gerenciador de arquivos, que processa requisições mesmo quando o identificador do usuário não é fornecido, permitindo que solicitações não autenticadas acessem código que supõe um usuário logado.
Além disso, o parâmetro ‘t_total’, que funciona como modo de permissão de arquivo no comando chmod do sistema, é inserido diretamente em um comando shell sem sanitização, possibilitando injeção de código e execução arbitrária.
No exploit desenvolvido por Rinaudo, uma requisição POST ao endpoint changePerm, com um valor malicioso no parâmetro t_total, injeta um comando shell e abre uma reverse shell com as permissões do usuário-alvo.
O pesquisador reportou a falha ao CWP em 13 de maio, e a correção foi lançada em 18 de junho, na versão 0.9.8.1205 do produto.
Ontem, a CISA incluiu a falha no catálogo KEV, sem divulgar detalhes sobre métodos de exploração, alvos ou origem das atividades maliciosas.
Simultaneamente, a agência adicionou ao catálogo o
CVE-2025-11371
, uma vulnerabilidade de inclusão local de arquivos (local file inclusion) nos produtos Gladinet CentreStack e Triofox, também com prazo até 25 de novembro para atualização ou suspensão do uso por agências federais.
Essa vulnerabilidade foi identificada como zero-day em exploração ativa pela Huntress em 10 de outubro, e o fabricante liberou o patch quatro dias depois, na versão 16.10.10408.56683.
Embora o KEV da CISA seja direcionado a agências governamentais nos EUA, qualquer organização deve acompanhar esse catálogo e priorizar a mitigação das vulnerabilidades listadas para evitar ataques.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...