2024年7月,有用户反馈1Panel开源面板存在安全漏洞。此次发现的漏洞为:
■ 网站监控和WAF功能存在前端SQL注入漏洞,可能最终导致远程代码执行(RCE)漏洞,CVE编号为CVE-2024-39911。漏洞详情:https://github.com/1Panel-dev/1Panel/security/advisories/GHSA-7m53-pwp6-v3f5。
■ 项目中存在部分orderBy SQL注入过滤不充分的情况,可能导致任意文件写入,最终引发远程代码执行(RCE)漏洞,CVE编号为CVE-2024-39907。漏洞详情:https://github.com/1Panel-dev/1Panel/security/advisories/GHSA-5grx-v727-qmq6。
以上漏洞影响的版本为:
1Panel版本<=v1.10.11 LTS版本
OpenResty版本<=1.21.4.3-3-1-focal版本
安全版本为:
1Panel版本>=v1.10.12 LTS版本
OpenResty版本>=1.21.4.3-3-2-focal版本
修复方案
升级1Panel和OpenResty至安全版本,具体升级办法如下:
■ 登录1Panel Web控制台,点击页面右下角的“检查更新”链接进行在线升级,升级1Panel至v1.10.12 LTS及以上版本。
■ 进入1Panel应用商店,点击右上角的“更新应用列表”按钮。更新成功后,在可升级应用列表中手动将OpenResty升级至1.21.4.3-3-2-focal及以上版本。
特别鸣谢
感谢GitHub用户@xuebibibibibi和@Junehck发现并及时向1Panel开源社区反馈上述漏洞。