一、漏洞详情
centos web panel(cwp)是一个开源的linux控制面板软件,用于部署虚拟主机环境。
近期研究人员披露了cwp7(cwp for centos 7)中的一个远程命令执行漏洞(cve-2022-44877),该漏洞的poc/exp已公开。centos web panel 7 版本0.9.8.1147之前在/login/index.php组件中存在漏洞,可能导致在未经身份验证的情况下通过精心设计的http请求执行任意系统命令或代码。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
centos web panel 7 版本< 0.9.8.1147
三、修复建议
目前红帽公司已宣布2021年底起停止维护centos 8,2024年6月30日起停止维护centos 7,后续将无法继续获得官方centos操作系统的升级和补丁支持,为避免由此产生的网络安全风险,建议用户尽早将已安装使用的centos操作系统替换为国产linux操作系统如龙蜥anolis、openeuler等服务器操作系统。
