重要通知丨1Panel漏洞通知及修复方案(1P-2024.07.20)

发布于 2024年07月20日

2024年7月,有用户反馈1Panel开源面板存在安全漏洞。此次发现的漏洞为:

网站监控和WAF功能存在前端SQL注入漏洞,可能最终导致远程代码执行(RCE)漏洞,CVE编号为CVE-2024-39911。漏洞详情:https://github.com/1Panel-dev/1Panel/security/advisories/GHSA-7m53-pwp6-v3f5

项目中存在部分orderBy SQL注入过滤不充分的情况,可能导致任意文件写入,最终引发远程代码执行(RCE)漏洞,CVE编号为CVE-2024-39907。漏洞详情:https://github.com/1Panel-dev/1Panel/security/advisories/GHSA-5grx-v727-qmq6


以上漏洞影响的版本为:

1Panel版本<=v1.10.11 LTS版本

OpenResty版本<=1.21.4.3-3-1-focal版本


安全版本为:

1Panel版本>=v1.10.12 LTS版本

OpenResty版本>=1.21.4.3-3-2-focal版本

修复方案

升级1Panel和OpenResty至安全版本,具体升级办法如下:

登录1Panel Web控制台,点击页面右下角的“检查更新”链接进行在线升级,升级1Panel至v1.10.12 LTS及以上版本。

进入1Panel应用商店,点击右上角的“更新应用列表”按钮。更新成功后,在可升级应用列表中手动将OpenResty升级至1.21.4.3-3-2-focal及以上版本。

特别鸣谢

感谢GitHub用户@xuebibibibibi和@Junehck发现并及时向1Panel开源社区反馈上述漏洞。