La Cybersecurity & Infrastructure Security Agency (CISA) des États-Unis avertit que les acteurs de la menace exploitent une faille critique d’exécution de commandes à distance dans CentOS Web Panel (CWP).
L’agence a ajouté la vulnérabilité à son catalogue de vulnérabilités exploitées connues (KEV) et donne aux entités fédérales soumises aux directives de la DBO 22-01 jusqu’au 25 novembre pour appliquer les mises à jour de sécurité disponibles et les mesures d’atténuation fournies par le fournisseur, ou cesser d’utiliser le produit.
Suivi comme CVE-2025-48703, le problème de sécurité permet à des attaquants distants non authentifiés connaissant un nom d’utilisateur valide sur une instance CWP d’exécuter des commandes shell arbitraires en tant qu’utilisateur.
CWP est un panneau de contrôle d’hébergement Web gratuit utilisé pour la gestion des serveurs Linux, commercialisé comme une alternative open source aux panneaux commerciaux comme cPanel et Plesk. Il est largement utilisé par les fournisseurs d’hébergement Web, les administrateurs système et les opérateurs de serveurs VPS ou dédiés.
Le problème affecte toutes les versions de CWP antérieures à la version 0.9.8.1204 et a été démontré sur CentOS 7 fin juin par Maxime Rinaudo, chercheur en sécurité chez Fenrisk.
Dans un article technique détaillé, le chercheur explique que la cause première de la faille est le point de terminaison « changePerm » du gestionnaire de fichiers qui traite les demandes même lorsque l’identifiant par utilisateur est omis, permettant aux demandes non authentifiées d’atteindre le code qui attend un utilisateur connecté.
De plus, le paramètre ‘t_total’, qui fonctionne comme un mode d’autorisation de fichier dans la commande système chmod, est passé non nettoyé dans une commande shell, permettant l’injection de shell et l’exécution de commandes arbitraires.
Dans l’exploit de Rinaudo, une requête POST au point de terminaison changePerm du gestionnaire de fichiers avec un t_total contrefait injecte une commande shell et génère un shell inverse en tant qu’utilisateur cible.
Le chercheur a signalé la faille à CWP le 13 mai, et un correctif a été publié le 18 juin, dans la version 0.9.8.1205 du produit.
Hier, CISA a ajouté la faille au catalogue KEV sans partager de détails sur la manière dont elle est exploitée, les cibles ou l’origine de l’activité malveillante.
L’agence a également ajouté au catalogue CVE-2025-11371, une faille d’inclusion de fichier local dans les produits Gladinet CentreStack et Triofox, et a donné la même date limite du 25 novembre aux agences fédérales pour corriger ou cesser d’utiliser le produit.
Cette faille a été marquée comme un jour zéro activement exploité par Huntress le 10 octobre, et le fournisseur l’a corrigée quatre jours plus tard, dans la version 16.10.10408.56683.
Même si le KEV de CISA est destiné aux agences fédérales aux États-Unis, toute organisation devrait le surveiller et donner la priorité à la gestion des vulnérabilités qu’il inclut.