CISAが緊急警告:CentOS Web Panelの重大な脆弱性が悪用中
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、CentOS Web Panel(CWP)における重大なリモートコマンド実行(RCE)の脆弱性(CVE-2025-48703)が活発に悪用されていると警告しました。CISAは、この脆弱性を「既知の悪用されている脆弱性(KEV)カタログ」に追加し、連邦機関に対し、11月25日までに利用可能なセキュリティアップデートを適用するか、製品の使用を停止するよう指示しています。
このセキュリティ問題は、CWPインスタンス上の有効なユーザー名を知っているリモートの認証されていない攻撃者が、そのユーザーとして任意のシェルコマンドを実行することを可能にします。
脆弱性の詳細と悪用メカニズム
CVE-2025-48703は、バージョン0.9.8.1204以前のすべてのCWPバージョンに影響を与えます。Fenriskのセキュリティ研究者Maxime Rinaudo氏が6月下旬にCentOS 7上でこの脆弱性を実証し、詳細な技術解説を公開しました。
脆弱性の根本原因は、ファイルマネージャーのchangePermエンドポイントが、ユーザーごとの識別子が省略されている場合でもリクエストを処理することにあります。これにより、認証されていないリクエストが、ログインしたユーザーを想定するコードに到達します。さらに、chmodシステムコマンドにおけるファイルパーミッションモードとして機能するt_totalパラメータが、サニタイズされずにシェルコマンドに渡されるため、シェルインジェクションと任意のコマンド実行が可能になります。
Rinaudo氏のPoCでは、細工されたt_totalを含むchangePermエンドポイントへのPOSTリクエストがシェルコマンドを注入し、ターゲットユーザーとしてリバースシェルを生成します。
CentOS Web Panelとは
CWPは、Linuxサーバー管理に使用される無料のウェブホスティングコントロールパネルです。cPanelやPleskのような商用パネルのオープンソース代替として販売されており、ウェブホスティングプロバイダー、システム管理者、VPSまたは専用サーバーの運用者によって広く使用されています。
対応と推奨事項
この脆弱性は5月13日にCWPに報告され、6月18日に製品のバージョン0.9.8.1205で修正がリリースされました。CISAは、この脆弱性がどのように悪用されているか、ターゲット、または悪意のある活動の出所に関する詳細を共有することなく、KEVカタログにこの脆弱性を追加しました。
CISAはまた、Gladinet CentreStackおよびTriofox製品におけるローカルファイルインクルージョンの脆弱性(CVE-2025-11371)もカタログに追加し、連邦機関に同様の11月25日の期限を設定しました。この脆弱性は、10月10日にHuntressによって積極的に悪用されているゼロデイとしてマークされ、ベンダーは4日後にバージョン16.10.10408.56683でパッチを適用しました。
CISAのKEVカタログは米国の連邦機関を対象としていますが、すべての組織がこれを監視し、記載されている脆弱性への対応を優先すべきです。