CVE-2025-48703 : RCE dans CentOS Web Panel via contournement d’authentification et injection de commande
Source: Fenrisk — Article technique décrivant une vulnérabilité d’exécution de code à distance dans CentOS Web Panel (CWP), ses conditions d’exploitation, une preuve de concept et la disponibilité d’un correctif. • La vulnérabilité (CVE-2025-48703) combine un contournement d’authentification et une injection de commande dans le paramètre t_total du module « filemanager » (action changePerm). Le backend exécute un chmod via sh -c, rendant l’instruction injectable. Un attaquant non authentifié, connaissant un nom d’utilisateur non-root valide, peut ainsi exécuter des commandes arbitraires. ...