CVE-2025-344101Panel是一款开源的Linux服务器管理面板,提供Web界面用于服务器运维管理。该漏洞存在于1Panel 1.10.33至2.0.15版本的设置面板(/settings/panel)中的更改用户名功能模块。攻击者利用跨站请求伪造(CSRF)漏洞,在用户不知情的情况下,通过构造恶意网页诱导已登录用户访问,借此向目标服务器发送更改用户名的请求。由于目标端点未实施有效的CSRF防护机制(如Anti-CSRF Token或Origin/Referer头验证),服务器会错误地将攻击者构造的请求视为合法用户操作,从而成功修改受害用户的账户用户名。攻击完成后,受害用户将被强制登出系统,且无法使用原有用户名登录,导致账户锁定和拒绝服务(DoS)状态。此漏洞无需攻击者进行任何身份认证,仅需诱导用户访问恶意页面即可实现攻击。
该CSRF漏洞的技术原理在于1Panel的/settings/panel端点缺少CSRF保护机制。漏洞利用过程如下:
1. 攻击者首先创建一个包含自动提交表单的恶意HTML页面,表单目标指向1Panel的/settings/panel端点
2. 表单中包含修改用户名所需的参数(new_username字段)
3. 当已登录1Panel的受害者访问该恶意页面时,浏览器会自动携带有效的会话Cookie向目标服务器发送POST请求
4. 服务器端由于缺少CSRF Token验证和Origin/Referer头检查,无法区分这是合法用户的操作还是来自恶意网站的伪造请求
5. 请求被成功处理,用户名被修改为攻击者指定的值
6. 服务器端检测到用户名变更后,执行安全退出操作,使受害者会话失效
7. 受害者无法使用原用户名登录,导致账户锁定
漏洞的核心问题在于:1) 缺少anti-CSRF token验证 2) 未验证请求的Origin或Referer头 3) 用户名变更后强制登出机制导致可用性问题