Имя пользователя вместо пароля — и сервер открыт любому желающему. Так работает новая уязвимость Control Web Panel
В популярной панели управления сервером нашли дыру, через которую злоумышленник может получить доступ к системе без пароля. Достаточно знать имя пользователя, чтобы выполнить на сервере любые команды.
Речь идёт о панели Control Web Panel, которую часто используют для управления хостингом на базе CentOS, AlmaLinux и Rocky Linux. Команда Fenrisk обнаружила новую уязвимость с идентификатором CVE-2025-70951. Ошибка позволяет удалённо запускать команды на сервере без прохождения аутентификации.
Проблема выросла из предыдущей уязвимости CVE-2025-48703, о которой стало известно раньше. Тогда разработчики закрыли часть уязвимого кода, но сделали это не везде. В результате опасный механизм остался в другом модуле системы.
Control Web Panel использует два интерфейса: административный и пользовательский. В старой атаке злоумышленник обходил проверку доступа и подставлял команду в параметр, который должен был отвечать только за права доступа к файлам. Сервер принимал запрос без проверки сессии и выполнял команду.
Исправление закрыло проблему в файловом менеджере, но не затронуло модуль addons, который отвечает за установку дополнений. Этот модуль по-прежнему принимает запросы без проверки подлинности, если в адресе указано существующее имя пользователя.
Во время установки дополнения сервер получает параметры, среди которых есть путь к каталогу. Разработчики не проверяли содержимое этого параметра, поэтому в него можно встроить команду. Сервер затем выполняет эту команду через оболочку, фактически давая злоумышленнику доступ к системе.
Чтобы провести атаку, достаточно отправить специальный запрос к серверу с нужным именем пользователя и вредоносной командой в параметре пути. В ответ сервер выполнит команду от имени этого пользователя.
Уязвимость подтвердили на версиях панели 0.9.8.1218, 0.9.8.1219 и 0.9.8.1222 на базе CentOS 7. Проблему устранили в версии 0.9.8.1224, которая вышла в марте 2026 года. Уязвимость обнаружили в декабре 2025 года. В начале января 2026 года специалисты сообщили о проблеме разработчикам, в феврале команда подтвердила наличие ошибки и передала задачу разработчикам. Исправление выпустили спустя месяц.