关于1Panel未授权访问漏洞(CVE-2024-27288)的安全告知

时间:2024-03-12 15:38:35来源:信息安全部作者:梦之想科技

1Panel是一个开源的Linux服务器运维管理面板。

漏洞详情
1Panel 1.10.0-lts及之前版本中存在未授权访问漏洞(CVE-2024-27288),用户可以使用数据修改软件发送恶意请求绕过控制台页面的权限控制机制,获取控制台未授权页面的访问权限。

影响范围
1Panel <= 1.10.0-lts

漏洞复现
1Panel未授权访问漏洞.png

修复建议
目前该漏洞已经修复,受影响用户可升级到1Panel 版本1.10.1-lts。
下载链接:
https://github.com/1Panel-dev/1Panel/releases

产品支持
云安服-安全监测平台:默认支持该产品的指纹识别,已更新漏洞检测规则,已支持该漏洞的在线检测。

参考链接
https://github.com/1Panel-dev/1Panel/security/advisories/GHSA-26w3-q4j8-4xjp