CentOS Web Panel (CWP) является популярным бесплатным веб-хостинг контроллером, предназначенным для упрощения управления серверами на базе CentOS и других RPM-дистрибутивов Linux. С момента своего появления в 2013 году, CWP завоевал широкое признание благодаря удобному графическому интерфейсу и многофункциональности, предоставляя мощный инструмент для конфигурации и управления веб-сервисами, базами данных, почтовыми системами и системой безопасности. Однако недавнее обнаружение критической уязвимости, известной как CVE-2025-48703, выявило серьезный недостаток в безопасности, позволяющий злоумышленникам с минимальной информацией получить возможность удаленного выполнения произвольного кода на сервере с установленным CWP. Эта уязвимость представляет особую опасность для администраторов и владельцев сайтов, так как она обусловлена ошибками в аутентификации и недостаточной фильтрацией пользовательских данных, что ставит под угрозу целостность и доступность хостинговых ресурсов. CentOS Web Panel разработан как альтернатива коммерческим решениям вроде cPanel или Plesk, предоставляя бесплатный и при этом богатый функционал по управлению веб-серверами Apache и NGINX, базами данных MySQL и MariaDB, почтовыми серверами Postfix и Dovecot, а также DNS-сервисами на базе Bind.
CWP поддерживает два основных интерфейса — администраторский, работающий на портах 2087 или 2031, и пользовательский, доступный на порту 2083, обеспечивая четкое разграничение полномочий и удобство управления как для системных администраторов, так и для конечных пользователей. Система также поставляется с предустановленным RoundCube для работы с почтой на порту 2096. Суть уязвимости CVE-2025-48703 заключается в отсутствующем надлежащем контроле аутентификации и возможности инъекции команд через параметр, управляющий правами доступа к файлам. В частности, в пользовательском интерфейсе предусмотрена функция изменения прав доступа к файлам, которая формирует HTTP POST запрос с параметрами, включающими имя файла, текущий путь и режим прав. Сервер обрабатывает этот запрос, вызывая системную команду chmod с передачей этих параметров.
Однако анализ показал, что сервер не выполняет достаточной проверки подлинности запроса, а параметр, ответственный за права доступа (t_total), не фильтруется должным образом. В результате злоумышленник, знающий допустимое имя пользователя, способен отправить специально сформированный запрос, который приведет к выполнению произвольной команды на сервере. Эксплуатация уязвимости начинается с обхода механизма аутентификации. Несмотря на наличие HTTP куки, идентифицирующих пользователя, сервер допускает обработку запроса, если параметр пользователя отсутствует в URL. Это значит, что злоумышленник может отправлять запросы напрямую, не предъявляя валидных учетных данных, что уже нарушает базовые принципы безопасности.
Далее, внедрение команды выполняется за счёт того, что параметр t_total напрямую вставляется в командную строку вызова chmod, при этом не экранируется и не проверяется на наличие опасных символов или команд оболочки. Для иллюстрации, злоумышленник может отправить POST запрос с параметром t_total, содержащим конструкцию вроде $(arbitrary_command), где arbitrary_command — произвольная команда Linux. Это может быть, например, установка обратного соединения через netcat (nc) на контролируемый сервер злоумышленника, что даёт полный удаленный доступ к системе на уровне пользователя, под которым работает CWP. Подобная атака позволяет получить контроль над сервером, скачивать и изменять файлы, запускать любые сервисы и разведывательные операции внутри сети. Количество уязвимых серверов CWP значительное — согласно данным Shodan, в мае 2025 года более 200000 экземпляров было доступно в интернете, что повышает злонамеренный интерес со стороны атакующих.
Важным фактором усиления угрозы является использование ionCube кодирования для защиты исходного PHP-кода CWP, что закрывает большую часть источников уязвимости от инспекции и быстрого обнаружения, затрудняя своевременное реагирование и выпуск исправлений. Исходя из подробностей отчёта, затрагиваются версии CWP 0.9.8.1188 и 0.
9.8.1204, работающие на CentOS 7. Обнаруженная уязвимость была оперативно задокументирована, а команда разработчиков получила уведомление 13 мая 2025 года. Уже в июне 2025 появилась исправленная версия 0.
9.8.1205, которая закрыла уязвимость CVE-2025-48703, устранив ошибки в проверке аутентификации и добавив корректные санитайзеры входных данных. Несмотря на кажущуюся специфику уязвимости, последствия её эксплуатации носят крайне серьёзный характер. Получение удалённого выполнения кода может привести к компрометации не только отдельных пользовательских сайтов, но и всей серверной инфраструктуры.
Атаки могут включать внедрение вредоносного ПО, использование сервера в ботнетах и майнинге криптовалют, похищение конфиденциальных данных и будущие атаки на соединённые системы. Особенно уязвимы компании и провайдеры, предоставляющие хостинг услуги с использованием CWP, так как масштаб доступа многократно увеличивает потенциальный ущерб и затраты на восстановление. Для администраторов и пользователей, использующих CentOS Web Panel, рекомендуется немедленно проверить версию установленного ПО и своевременно производить обновления до исправленной версии 0.9.8.
1205 или новее. Также следует внимательно проверить журналы доступа и попытаться выявить подозрительную активность, связанную с изменением прав файлов или необоснованными запросами на порту 2083. Временным средством можно рассмотреть ограничение доступа к пользовательскому интерфейсу через файрволлы, фильтрацию IP и подключение многофакторной аутентификации, если она поддерживается. Рекомендуется пересмотреть политику безопасности и взаимодействие с пользовательскими данными в веб-приложениях, особое внимание уделять фильтрации и экранированию пользовательского ввода, а также техническому аудиту защищённости кода даже при использовании обфускационных средств вроде ionCube. Подобные уязвимости в дальнейшем могут быть обнаружены и в других компонентах CWP или аналогичных решениях, поэтому своевременное обновление и мониторинг безопасности систем должны стать приоритетными задачами.
Выводы неизменно приводят к пониманию, что масштабное внедрение бесплатных, но не всегда полноценно защищенных систем требует ответственного подхода к безопасности. Несмотря на удобство и функциональность CentOS Web Panel, эксплуатация CVE-2025-48703 показала, что пренебрежение регулярными обновлениями и поверхностный контроль доступа могут привести к высокой вероятности операций злоумышленников на сервере. Инженерам и специалистам по информационной безопасности следует помнить о необходимости постоянного мониторинга и проведения тестов на проникновение в своих IT-инфраструктурах. Таким образом, уязвимость CVE-2025-48703 в CentOS Web Panel стала ярким примером серьёзной угрозы безопасности для хостинг-платформ. Она подчёркивает важность грамотного проектирования систем аутентификации, надёжной фильтрации пользовательского ввода и быстрого реагирования на обнаруженные проблемы.
Для пользователей важно не откладывать обновления и принимать меры по ограничению доступа к административным и пользовательским интерфейсам, чтобы минимизировать риски компрометации. Только комплексный подход к защите поможет сохранять безопасность и устойчивость серверов в постоянно меняющейся киберсреде.
