1Panel 命令注入漏洞

CNNVD-ID编号	CNNVD-202403-796
CVE编号	CVE-2024-2352
发布时间	2024-03-10
更新时间	2024-03-11
漏洞类型	命令注入
漏洞来源	暂无
危险等级	N/A
威胁类型	N/A
厂商	1panel

漏洞介绍

1Panel是中国1panel社区的一个开源的Linux服务器运维管理面板。 1Panel 1.10.1-lts及之前版本存在命令注入漏洞，该漏洞源于/api/v1/toolbox/device/update/swap 中的函数baseApi.UpdateDeviceSwap存在安全问题，使用特殊输入通过参数 Path 导致命令注入。

漏洞补丁

目前暂无1Panel 命令注入漏洞的补丁信息，如1Panel 命令注入漏洞补丁信息有更新，便会立即同步；

参考网址

来源:vuldb.com

链接：https://vuldb.com/?id.256304
来源:vuldb.com

链接：https://vuldb.com/?ctiid.256304
来源:github.com

链接：https://github.com/1Panel-dev/1Panel/pull/4131
来源:github.com

链接：https://github.com/1Panel-dev/1Panel/pull/4131#issue-2176105990
来源:github.com

链接：https://github.com/1Panel-dev/1Panel/pull/4131/commits/0edd7a9f6f5100aab98a0ea6e5deedff7700396c

受影响实体

信息来源

CNNVD