文章总结: 该漏洞影响ControlWebPanel0.9.8.1225之前版本,攻击者无需认证即可通过未净化的userRes参数执行任意SQL查询,进而写入webshell实现远程代码执行。公开PoC已发布,管理员需立即升级至0.9.8.1225或更新版本,并检查Roundcube目录异常文件。 综合评分: 80 文章分类: 漏洞分析,威胁情报,应急响应,安全工具,漏洞预警
公开 PoC 代码曝光 CVSS 9.8 分的 Control Web Panel SQL 注入漏洞 CVE-2026-57517
sec随谈 sec随谈
sec随谈
2026年7月3日 13:23 北京
在小说阅读器读本章
去阅读
安全研究人员公开披露了 Control Web Panel 中的一个严重漏洞,并同时公布了概念验证(PoC)利用代码。该漏洞编号为 CVE-2026-57517,CVSS 评分达到满分 9.8。
摘要
Control Web Panel 中存在一个严重漏洞。这个 Control Web Panel SQL 注入(SQLi)漏洞可导致远程代码执行。目前,一份公开的概念验证利用代码已可在网上获取。管理员必须立即为其服务器打补丁,以防范攻击。
为何值得关注
Control Web Panel 在全球管理着数以千计的网站托管环境。CVE-2026-57517 使这些服务器面临被完全攻陷的威胁。攻击者无需事先经过身份验证即可利用该漏洞。此外,概念验证代码的公开发布进一步加剧了当下的危险。威胁行为者往往会迅速将公开的利用代码武器化,用以攻击未打补丁的系统。因此,服务器管理员正面临数据泄露和服务器被劫持的紧迫风险。保护这些托管环境需要管理员迅速采取行动。
攻击如何运作
该漏洞源于用户端点(user endpoint)。具体而言,系统未能对”userRes” POST 参数中的输入进行净化处理。这一缺陷使得未经身份验证的攻击者能够执行任意 SQL 查询。据公告称,”成功的利用可让未经身份验证的攻击者以 MySQL root 用户的权限执行任意 SQL 查询”。该账户拥有全局文件修改能力。攻击者利用 INTO DUMPFILE 命令将任意文件写入文件系统。他们通常会将一个 PHP webshell 部署到可通过 Web 访问的 Roundcube 日志目录中。因此,他们便以 cwpsvc 账户的身份实现了远程代码执行,进而能够远程控制服务器。
受影响的版本
这个盲注型 SQL 注入(blind SQL injection)漏洞影响该软件的旧版安装。0.9.8.1225 之前的 Control Web Panel 版本均存在此漏洞。目前,研究人员已发布了一份公开的概念验证利用代码。你可在 Karma In Security 的报告中查看该利用的详细信息。不过,专家尚未确认存在野外的实际利用行为。
补丁与缓解措施
管理员必须立即更新其系统,升级至 Control Web Panel 0.9.8.1225 或更新版本。此外,请审查你的服务器日志,排查 Roundcube 目录中是否存在异常文件。在条件允许的情况下,使用防火墙规则限制对管理面板的访问。网络分段(network segmentation)也有助于隔离关键的数据库服务。
参考链接:
https://karmainsecurity.com/KIS-2026-12
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:sec随谈 sec随谈 sec随谈《公开 PoC 代码曝光 CVSS 9.8 分的 Control Web Panel SQL 注入漏洞 CVE-2026-57517》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论