Une injection SQL impacte une version de CentOS Web Panel

Le panneau de contrôle Web CentOS est un panneau de contrôle d'hébergement Web, gratuit, conçu pour une gestion simple et rapide des serveurs (dédiés et VPS) sans avoir besoin d'utiliser la console SSH pour chacun d'eux. 

Une vulnérabilité Web d'injection SQL distante a été découverte dans l'application Web officielle CentOS Web Panel v0.9.8.12. Cette vulnérabilité permet aux attaquants distants d'injecter leurs propres commandes SQL malveillantes pour compromettre le serveur web, l'application web ou les systèmes de gestion de bases de données connectés.

L'injection SQL se trouve dans les valeurs "row_id" et "domain" de la requête de méthode POST du module "Ajouter un domaine". Les attaquants distants sont capables de manipuler la requête de la méthode POST pour exécuter leurs propres commandes SQL malveillantes du côté application. La vulnérabilité peut être exploitée par des comptes utilisateurs restreints. 

Informations
+

Impact

  • Injection de requêtes SQL (exécution de commandes à distance)

Criticité

  • CVSS v3 : 7.5

Existence d’un code d’exploitation de la vulnérabilité

Une preuve de concept est publiée sur la note de sécurité. Pour reproduire l'exploit, il est possible de suivre les étapes suivantes:  

  1. Ajouter un domaine
  2. Supprimer ce même domaine  
  3. Intercepter la requête HTTP
  4. Manipulez dans la méthode POST les valeurs "row_id" ou "domain" avec un '
  5. Poursuivre la requête et une sql-exception exploitable devient visible 
  6. Maintenant, l'attaquant peut injecter "row_id" et "domain" pour exécuter des commandes SQL malveillantes via le compte utilisateur restreint 
  7. Reproduction réussie de l'injection SQL.

Composants & versions vulnérables

  • CentOS Web Panel - (CWP) 0.9.8.12

CVE

  • Pas encore référencée

Recommandations
+

Correctifs

  • CentOS va publier une nouvelle version de la plateforme prochainement.

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.