预身份验证远程代码执行(RCE)漏洞利用已登陆流行的Web托管平台Control Web Panel(CWP)。CWP 7中的相应漏洞已在10月25日的0.9.8.1147版本中得到修复并发布。之前的所有版本均受到影响。CWP，前身为CentOS Web Panel，是一个免费使用的Linux控制面板，大约有200000台服务器在使用。

概念验证(PoC)已发布到GitHub和YouTube 1月5日，土耳其信息安全机构Gais Security的安全工程师Numan Türle发表了讲话。

Türle说，在收到足够数量的服务器已更新到补丁版本的保证后，他披露了技术细节并申请了CVE。

该漏洞现已被指定为CVE-2022-44877，CVSS 严重性评级仍在等待中。

该缺陷存在于/login/index.php组件中，允许未经身份验证的攻击者通过精心设计的HTTP请求执行任意系统命令。

根据Türle的说法，这是由于CWP使用以下结构来记录不正确的条目：echo "incorrect entry, IP address, HTTP_REQUEST_URI" >> /blabla/wrong.log

“由于请求URI来自用户，而且正如您所见，它在双引号内，因此可以运行$(blabla)等命令，这是bash的一项功能，”他说。

“他们已经将请求URI变成了escapeshellarg，但是双引号在bash端被解释。这实际上只是双引号的问题。这是一个小问题，但可能会很烦人。”

Türle表示，该漏洞源于对Gais Security客户使用的第三方应用程序进行的零日研究。

“我们在2022年7月发现了这个漏洞，并通过首先通知我们的客户来关闭端口，”他说。

CWP收到通知并于7月30日开始补救。CWP团队在两天内提交了一个特殊版本，我们确认我们能够重现该漏洞并提交了一份新报告。”

Türle称赞CWP的安全团队“非常快速地修复”。

“虽然我之前与其他公司沟通过的漏洞可能需要将近一到三个月的时间，但CWP团队在两天内就关闭了该漏洞，”他补充道。