Control Web Panel - CVE-2026-57517

Date de publication :

Il s'agit d'une vulnérabilité d'injection SQL aveugle dans le panneau Control Web Panel, au niveau du paramètre POST userRes transmis à l'endpoint utilisateur.

Control Web Panel est un panneau d'administration web pour serveurs Linux, destiné aux hébergeurs et aux administrateurs système. Il centralise la gestion des comptes utilisateurs, des sites web, des bases de données et des services de messagerie sur un serveur mutualisé ou dédié.

Cette entrée n'est pas correctement neutralisée avant d'être intégrée à une requête SQL. L'exploitation nécessite de connaître ou deviner le nom d'un compte non-root valide sur l'instance ciblée. La requête injectée s'exécute avec les privilèges root de MySQL, un compte disposant du privilège global FILE. Ce privilège permet d'utiliser la clause INTO DUMPFILE pour écrire un fichier arbitraire sur le système. En déposant une charge utile PHP dans le répertoire accessible en web roundcube/logs, l'attaquant obtient l'exécution de ce fichier via le serveur web.

Elle permet à un attaquant distant non authentifié d'exécuter du code arbitraire avec les privilèges du compte de service cwpsvc.

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Exécution de code arbitraire (à distance)

Exploitation

La vulnérabilité exploitée est du type
CWE-89 : Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui

Preuve de concept
Une preuve de concept est disponible en sources ouvertes.

Systèmes ou composants affectés

  • Control Web Panel versions 0.9.8.1224 et antérieures (branche CWP7). 

  • La branche CWP6 (version 0.9.8.1026) est signalée en fin de vie (EOL) par l'éditeur et ne fait l'objet d'aucun correctif.

Solutions ou recommandations

Control Web Panel versions 0.9.8.1224 et antérieures (branche CWP7). La branche CWP6 (version 0.9.8.1026) est signalée en fin de vie (EOL) par l'éditeur et ne fait l'objet d'aucun correctif.