Source: Fenrisk — Article technique décrivant une vulnérabilité d’exécution de code à distance dans CentOS Web Panel (CWP), ses conditions d’exploitation, une preuve de concept et la disponibilité d’un correctif.

• La vulnérabilité (CVE-2025-48703) combine un contournement d’authentification et une injection de commande dans le paramètre t_total du module « filemanager » (action changePerm). Le backend exécute un chmod via sh -c, rendant l’instruction injectable. Un attaquant non authentifié, connaissant un nom d’utilisateur non-root valide, peut ainsi exécuter des commandes arbitraires.

• Contexte produit: CentOS Web Panel (CWP) est un panneau d’administration pour serveurs Linux (CentOS/AlmaLinux/Rocky) exposant une interface admin (HTTPS, ports 2087/2031) et une interface utilisateur (port 2083), plus Roundcube sur 2096. Le code est protégé par ionCube, ce qui limite les méthodes classiques d’audit. En mai 2025, plus de 200 000 instances CWP étaient référencées sur Shodan (recherche « Server: cwpsrv »).

• Détails techniques: le point d’entrée vulnérable est l’URL du File Manager (module filemanager, action acc=changePerm) où l’authentification est insuffisamment vérifiée et le paramètre t_total (mode de permissions) est injecté dans une commande système. Des traces strace montrent l’appel sh -c "chmod ...", permettant l’injection via une substitution de commande. Une preuve de concept démontre l’obtention d’un shell avec les privilèges de l’utilisateur ciblé (ex. uid=1001(myuser)).

• Impact et périmètre: l’attaque permet une exécution de code arbitraire pré-authentification avec les droits de l’utilisateur Linux visé (non-root), sous réserve de connaître un identifiant utilisateur valide. Les versions testées vulnérables: 0.9.8.1188 et 0.9.8.1204 sur CentOS 7. Le correctif est disponible en 0.9.8.1205 (18/06/2025).

• Chronologie: 13/05/2025 notification éditeur → 23/05/2025 attribution CVE → 18/06/2025 patch publié.

IOC et TTPs:

  • TTPs: contournement d’authentification sur l’URL du File Manager; injection de commande via le paramètre t_total exécuté par sh -c; preuve de concept montrant un shell utilisateur; découverte d’exposition via Shodan.
  • Points techniques/indicateurs exploitables: services CWP sur ports 2083, 2087/2031, 2096; en-tête serveur Server: cwpsrv; chemin d’API utilisateur incluant index.php?module=filemanager&acc=changePerm; motif d’injection via substitution de commande dans t_total.

Conclusion: Il s’agit d’un rapport de vulnérabilité présentant une faille RCE dans CWP, son mode opératoire, un exemple d’exploitation et le correctif disponible.

🧠 TTPs et IOCs détectés

TTP

Contournement d’authentification sur l’URL du File Manager; injection de commande via le paramètre t_total exécuté par sh -c; preuve de concept montrant un shell utilisateur; découverte d’exposition via Shodan.

IOC

Services CWP sur ports 2083, 2087/2031, 2096; en-tête serveur Server: cwpsrv; chemin d’API utilisateur incluant index.php?module=filemanager&acc=changePerm; motif d’injection via substitution de commande dans t_total.

🔗 Source originale : https://fenrisk.com/rce-centos-webpanel