広く使用されているサーバー管理コンソール内で、深刻なアーキテクチャの脆弱性が発見されました。これにより、攻撃者は認証情報なしにシステムアクセス権を奪うことができます。単なるユーザー名の知識があれば、サーバー上で任意のコマンドを実行するのに十分です。
この問題はControl Web Panel(CWP)に関するもので、CentOS、AlmaLinux、Rocky Linuxに基づくホスティング環境の管理に頻繁に使用されるプラットフォームです。Fenriskの先駆者は、CVE-2025-70951と指定される新たな脆弱性を特定しました。これは正式な認証前にリモートコード実行(RCE)を可能にします。
この問題は、以前に浮上したCVE-2025-48703という祖先の欠陥の直系の子孫です。アーキテクトは表面上は問題のあるコードを修正しましたが、修復は不完全で、危険なメカニズムが補助モジュール内に潜在状態のまま残されていました。
Control Web Panelは、1つは管理者用、もう1つはユーザー用という2つのバイナリインターフェースを通じて機能を調整します。祖先の悪用では、侵入者はファイル権限管理の目的で単独で設計されたパラメータにコマンドを注入することによってアクセス検証をバイパスしました。セッションの正当性を確認しなかったサーバーは、悪意のある命令を忠実に実行しました。
最初の修正はファイル管理システム内の欠陥を隔離しましたが、補助インストールを担当する「addons」モジュールを保護できませんでした。このコンポーネントは、リクエストが存在するユーザー名を指定している限り、要求元の識別情報を確認することなく呼び出しを受け付け続けています。
アドオンのインストール中、サーバーはディレクトリパスを含むパラメータを取得します。開発者はこの変数の内容を検査することを忘れました。これにより、悪意のあるコマンドが密かに埋め込まれることが可能になりました。サーバーはその後、システムシェル経由でこのコマンドを処理し、事実上アーキテクチャを攻撃者に引き渡しました。
この侵害を展開するには、有効なユーザー名とパスパラメータ内の悪意のあるコマンドを含むカスタムリクエストをサーバーに送信するだけで済みます。結果として、サーバーはその特定のユーザーの名目でコマンドを実行します。
脆弱性はCentOS 7環境のバージョン0.9.8.1218、0.9.8.1219、および0.9.8.1222で確認されました。侵害は2026年3月に公表されたバージョン0.9.8.1224で確実に封印されました。欠陥は2025年12月に最初に検出され、2026年1月初旬に開発者に正式に通知されました。2月にエラーが確認された後、修復パッチが1か月後に発行されました。
