In der Software 1Panel wurde eine kritische SQL-Injection-Schwachstelle entdeckt, die mit der orderBy-Klausel zusammenhängt. Diese Schwachstelle, die als CVE-2024-39907 identifiziert wurde, ermöglicht Remote Code Execution (RCE) und Datenlecks.
Betroffen sind alle Versionen von 1Panel vor 1.10.12-tls. Die Schwachstelle wurde vor vier Tagen im GitHub Advisory Database und der National Vulnerability Database veröffentlicht. Ein Proof of Concept (PoC) zeigt, dass durch Manipulation der orderBy-Klausel beliebige Dateioperationen und letztlich RCEs möglich sind.
Die Schwachstelle hat eine kritische CVSS-Basisbewertung von 9.8/10. Benutzer sollten dringend auf die gepatchte Version 1.10.12-tls aktualisieren.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: