CentOS 相关 Exploit 与安全事件速览
近期与 CentOS / CentOS Stream / RHEL 生态相关的漏洞利用与安全事件主要包括:Control Web Panel 严重漏洞被纳入 CISA KEV 目录并要求 联邦机构于 11 月 25 日前完成修复;sudo 本地提权漏洞 CVE-2025-32463/32462 披露,其中 CVE-2025-32463 在部分主流发行版默认配置下可被利用;历史高危漏洞 CVE-2019-11477/11478/11479(SACK Panic) 仍提示修复与加固。
重点事件
Control Web Panel(CWP,前身为 CentOS Web Panel)远程命令执行漏洞 CVE-2025-48703 被 CISA 纳入“已知被利用漏洞(KEV)”目录,要求联邦机构在 2025-11-25 前修复。该漏洞允许拥有有效非 root 用户名的攻击者绕过身份验证执行任意命令;开发者在 0.9.8.1205 版本修复。暴露面监测显示约 15 万互联网实例可能受影响(Shodan 超过 22 万)。处置建议:立即升级至修复版本,限制公网暴露面,审计可疑 Web 面板登录与命令执行日志。
sudo 本地提权漏洞 CVE-2025-32463 / CVE-2025-32462:CVE-2025-32463(CVSS 9.3,严重)允许本地攻击者通过 -R/–chroot 诱骗 sudo 加载恶意共享库,在支持 /etc/nsswitch.conf 的系统上以 root 身份执行任意命令;CVE-2025-32462(CVSS 7.0,中危)可绕过 sudoers 的主机限制规则。受影响版本包含 sudo 1.9.14–1.9.17(CVE-2025-32463)、sudo 1.9.15–1.9.16(CVE-2025-32462);部分 CentOS Stream 10 / RHEL 9.4+ 默认配置下 CVE-2025-32463 可被利用。处置建议:升级 sudo 至已修复版本,核查 sudoers 规则与 chroot 使用场景,最小化特权账户与交互式登录。
TCP SACK Panic 远程拒绝服务 CVE-2019-11477/11478/11479:构造特定 SACK 序列可导致内核崩溃或拒绝服务,历史上影响 CentOS 6/7 等版本。修复版本示例:CentOS 6 2.6.32-754.15.3、CentOS 7 3.10.0-957.21.3。临时缓解可禁用 SACK(可能影响性能):echo 'net.ipv4.tcp_sack = 0' >> /etc/sysctl.conf && sysctl -p。建议:升级内核并持续关注后续内核安全通告。
历史高危漏洞提醒
OpenSSH SCP 命令注入 CVE-2020-15778(影响 ≤ 8.3p1):在受限环境(如仅允许 scp)下可通过特制请求实现命令执行。建议升级 OpenSSH,避免依赖 scp 的遗留流程,必要时改用 sftp/rsync 并加强输入校验与最小权限控制。
DHCP 客户端命令注入 CVE-2018-1111:攻击者可伪装 DHCP 服务器在受影响的 RHEL/CentOS/Fedora 系统上以 root 执行任意命令。容器化场景中因 CNI 网络插件导致攻击面扩大,需强化网络边界与 DHCP 可信源校验。建议升级 dhclient/网络插件并隔离不可信网络。
Apache Tomcat 本地提权 CVE-2016-5425(Red Hat 系):默认打包中 tomcat 组对 /usr/lib/tmpfiles.d/tomcat.conf 具写权限,可被注入恶意 payload 借 systemd-tmpfiles 执行并以 root 权限运行。建议收紧配置文件权限、移除不必要的 SUID、审计 systemd-tmpfiles 触发链。