2025年11月,有用户反馈1Panel开源面板存在安全漏洞,并向1Panel开源项目组进行上报。此次发现的漏洞为:
■ 1Panel验证码校验过程可被客户端参数绕过的漏洞,CVE编号为CVE-2025-66507。漏洞详情:https://github.com/1Panel-dev/1Panel/security/advisories/GHSA-qmg5-v42x-qqhq。
■ 1Panel授权IP访问控制因请求头伪造而被绕过的漏洞,CVE编号为CVE-2025-66508。漏洞详情:https://github.com/1Panel-dev/1Panel/security/advisories/GHSA-7cqv-qcq2-r765。
以上漏洞受影响版本为:
1Panel V2版本:<=v2.0.13版本
1Panel V1版本:<=v1.10.32 LTS版本
安全版本为:
1Panel V2版本:>=v2.0.14版本
1Panel V1版本:>=v1.10.33 LTS版本
修复方案
将1Panel升级至安全版本,即1Panel V2>=v2.0.14版本,或者1Panel V1>=v1.10.33 LTS版本。
特别鸣谢
感谢GitHub用户@aliyevmursal和@Threonine发现并及时向1Panel开源社区反馈上述漏洞。