Katalog CVE

CVE-2025-34430

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 8 - wyżej niż 8% wszystkich znanych CVE

Streszczenie

Podatność CSRF w 1Panel w wersjach od 1.10.33 do 2.0.15 w funkcji zarządzania nazwą panelu. Brak zabezpieczeń CSRF (tokeny, walidacja Origin/Referer) umożliwia atakującemu zmianę nazwy panelu ofiary bez jej zgody poprzez spreparowaną stronę WWW.

Ocena ryzyka

Atakujący może zmienić nazwę panelu administratora na dowolną wartość, co może prowadzić do dezorientacji, utraty zaufania lub dalszych ataków socjotechnicznych.

Rekomendacja

Zaleca się natychmiastową aktualizację 1Panel do wersji 2.0.16 lub nowszej, która zawiera poprawkę CSRF. Jako tymczasowe zabezpieczenie można wdrożyć dodatkową walidację nagłówków Origin/Referer na poziomie proxy.

Oryginalny opis (angielski, źródło NVD)

1Panel versions 1.10.33 through 2.0.15 contain a cross-site request forgery (CSRF) vulnerability in the panel name management functionality. The affected endpoint does not implement CSRF defenses such as anti-CSRF tokens or Origin/Referer validation. An attacker can craft a malicious webpage that submits a panel-name change request; if a victim visits the page while authenticated, the browser includes valid session cookies and the request succeeds. This allows a remote attacker to change the victim’s panel name to an arbitrary value without consent.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS