Badan Keamanan Siber & Infrastruktur AS (CISA) memperingatkan bahwa pelaku ancaman mengeksploitasi kelemahan kritis eksekusi perintah jarak jauh di CentOS Web Panel (CWP).
Badan tersebut telah menambahkan kerentanan ke dalam katalog Kerentanan yang Diketahui Dieksploitasi (KEV) dan memberikan waktu kepada entitas federal yang tunduk pada panduan BOD 22-01 hingga tanggal 25 November untuk menerapkan pembaruan keamanan yang tersedia dan mitigasi yang disediakan vendor, atau berhenti menggunakan produk.
Dilacak sebagai CVE-2025-48703masalah keamanan memungkinkan penyerang jarak jauh yang tidak diautentikasi dengan pengetahuan tentang nama pengguna yang valid pada instance CWP untuk menjalankan perintah shell sewenang-wenang sebagai pengguna tersebut.
CWP adalah panel kontrol hosting web gratis yang digunakan untuk manajemen server Linux, dipasarkan sebagai alternatif sumber terbuka untuk panel komersial seperti cPanel dan Plesk. Ini banyak digunakan oleh penyedia hosting web, administrator sistem, dan VPS atau operator server khusus.
Masalah ini berdampak pada semua versi CWP sebelum 0.9.8.1204 dan didemonstrasikan pada CentOS 7 pada akhir Juni oleh peneliti keamanan Fenrisk Maxime Rinaudo.
Secara rinci penulisan teknispeneliti menjelaskan bahwa akar penyebab cacat tersebut adalah pengelola file ‘ubahPerm‘ permintaan pemrosesan titik akhir bahkan ketika pengidentifikasi per pengguna dihilangkan, memungkinkan permintaan yang tidak diautentikasi mencapai kode yang mengharapkan pengguna masuk.
Selanjutnya, ‘t_totalParameter ‘, yang berfungsi sebagai mode izin file dalam perintah sistem chmod, diteruskan tanpa sanitasi ke dalam perintah shell, memungkinkan injeksi shell dan eksekusi perintah sewenang-wenang.
Dalam eksploitasi Rinaudo, permintaan POST ke titik akhir manajer file changePerm dengan file yang dibuat t_total menyuntikkan perintah shell dan memunculkan shell terbalik sebagai pengguna target.
Sumber: Fenrisk
Peneliti melaporkan kelemahan tersebut ke CWP pada 13 Mei, dan perbaikan dirilis pada 18 Juni, dalam produk versi 0.9.8.1205.
Kemarin, CISA menambahkan kekurangannya ke katalog KEV tanpa membagikan rincian apa pun tentang cara eksploitasi, target, atau asal mula aktivitas berbahaya.
Badan tersebut juga menambahkan ke dalam katalog CVE-2025-11371, kelemahan penyertaan file lokal pada produk Gladinet CentreStack dan Triofox, dan memberikan hal yang sama Batas waktu 25 November kepada agen federal untuk menambal atau menghentikan penggunaan produk.
Cacat itu ditandai sebagai secara aktif mengeksploitasi zero-day oleh Huntress pada 10 Oktober, dan vendor menambalnya empat hari kemudian, di versi 16.10.10408.56683.
Bahkan jika KEV CISA ditujukan untuk lembaga-lembaga federal di AS, organisasi mana pun harus memantaunya dan memprioritaskan penanganan kerentanan yang ada di dalamnya.
Tolok Ukur Anggaran CISO 2026
Ini musim anggaran! Lebih dari 300 CISO dan pemimpin keamanan telah berbagi bagaimana mereka merencanakan, membelanjakan, dan membuat prioritas untuk tahun depan. Laporan ini mengumpulkan wawasan mereka, memungkinkan pembaca untuk membuat tolok ukur strategi, mengidentifikasi tren yang muncul, dan membandingkan prioritas mereka menjelang tahun 2026.
Pelajari bagaimana para pemimpin terkemuka mengubah investasi menjadi dampak yang terukur.
