Cơ quan này đã thêm lỗ hổng bảo mật vào danh mục Lỗ hổng bảo mật đã biết (KEV), đồng thời đưa ra thời hạn cho các thực thể liên bang tuân theo hướng dẫn BOD 22-01 đến ngày 25/11, để áp dụng các bản cập nhật bảo mật có sẵn và các biện pháp giảm thiểu do nhà cung cấp cung cấp hoặc ngừng sử dụng sản phẩm.
Được theo dõi với mã định danh CVE-2025-48703, sự cố bảo mật này cho phép kẻ tấn công từ xa không xác thực, nắm được thông tin tên người dùng hợp lệ trên phiên bản CWP và thực thi các lệnh shell tùy ý với tư cách là người dùng đó.
CWP là một bảng điều khiển (control panel) lưu trữ web miễn phí được sử dụng để quản lý máy chủ Linux, được xem như một giải pháp thay thế nguồn mở cho các bảng điều khiển thương mại như cPanel và Plesk. CWP được sử dụng rộng rãi bởi các nhà cung cấp dịch vụ lưu trữ web, dịch vụ máy chủ hay quản trị viên hệ thống.
Sự cố ảnh hưởng đến tất cả các phiên bản CWP trước 0.9.8.1204 và đã được nhà nghiên cứu bảo mật Maxime Rinaudo đến từ Công ty phần mềm Fenrisk (Pháp) chứng minh trên CentOS 7 vào cuối tháng 6/2025.
Trong một bài viết kỹ thuật chi tiết, nhà nghiên cứu giải thích rằng nguyên nhân gốc rễ của lỗ hổng nằm ở endpoint “changePerm” của trình quản lý tệp xử lý các yêu cầu ngay cả khi mã định danh của từng người dùng bị bỏ qua. Hơn nữa, tham số “t_total” hoạt động như chế độ cấp quyền tệp trong lệnh hệ thống chmod, được truyền chưa kiểm tra vào lệnh shell, cho phép kẻ tấn công có thể chèn shell và thực thi lệnh tùy ý.
Trong khai thác của Rinaudo, yêu cầu POST đến endpoit changePerm của trình quản lý tệp, với t_total được tạo thủ công sẽ chèn lệnh shell và tạo ra một reverse shell.
.png)
PoC POST kích hoạt lệnh injection vào ứng dụng
Nhà nghiên cứu đã báo cáo lỗi này cho CWP vào ngày 13/5 và bản vá đã được phát hành vào ngày 18/6, trong phiên bản 0.9.8.1205 của sản phẩm.
Ngày 04/11, CISA đã thêm lỗ hổng vào danh mục KEV mà không chia sẻ bất kỳ thông tin chi tiết nào về cách thức khai thác, mục tiêu hoặc nguồn gốc của hoạt động độc hại.
Trong một diễn biến liên quan, cơ quan này cũng bổ sung CVE-2025-11371, một lỗ hổng tệp cục bộ trong các sản phẩm Gladinet CentreStack và Triofox, đồng thời đưa ra thời hạn chót là ngày 25/11 cho các cơ quan liên bang để vá hoặc ngừng sử dụng sản phẩm.
CVE-2025-11371 đã được Công ty an ninh mạng Huntress đánh dấu là lỗ hổng zero-day đang bị khai thác tích cực vào ngày 10/10, nhà cung cấp đã vá lỗ hổng này bốn ngày sau đó, trong phiên bản 16.10.10408.56683.
