Kritische SQL-Injection-Schwachstelle in 1Panel gefunden
In der Software 1Panel wurde eine kritische SQL-Injection-Schwachstelle entdeckt, die mit der orderBy-Klausel zusammenhängt. Diese Schwachstelle, die als CVE-2024-39907 identifiziert wurde, ermöglicht Remote Code Execution (RCE) und Datenlecks.
Betroffen sind alle Versionen von 1Panel vor 1.10.12-tls. Die Schwachstelle wurde vor vier Tagen im GitHub Advisory Database und der National Vulnerability Database veröffentlicht. Ein Proof of Concept (PoC) zeigt, dass durch Manipulation der orderBy-Klausel beliebige Dateioperationen und letztlich RCEs möglich sind.
Die Schwachstelle hat eine kritische CVSS-Basisbewertung von 9.8/10. Benutzer sollten dringend auf die gepatchte Version 1.10.12-tls aktualisieren.