CVE-2024-51568 — 神龙十问 AI 深度分析摘要

🚨 **本质**：CyberPanel 存在 **命令注入漏洞**。 💥 **后果**：攻击者可实现 **远程代码执行 (RCE)**，直接控制服务器。

🔍 **缺陷点**：`ProcessUtilities.outputExecutioner` 接收器中的 `completePath` 参数。 📉 **CWE**：未明确指定，但属于典型的 **命令注入** 类型。

🎯 **受影响版本**：CyberPanel **2.3.5 之前** 的所有版本。 📦 **组件**：虚拟主机控制面板（含 DNS/邮件服务）。

👑 **权限**：以 **root 特权** 执行命令。 📂 **数据**：完全控制服务器，可窃取数据、部署后门或破坏系统。

🔓 **门槛极低**：**无需认证** (Pre-authentication)。 🌐 **入口**：通过 `/filemanager/upload` 接口，利用 shell 元字符即可触发。

🧪 **有现成 Exp**：是的。 🔗 **资源**：GitHub 上有 Nuclei 模板 (CVE-2024-51568.yaml) 和 PoC 环境，可直接用于测试。

🔎 **自查方法**：使用 Nuclei 扫描模板检测 `/filemanager/upload` 接口。 📝 **特征**：检查是否存在未认证的命令注入响应。

🛡️ **官方修复**：已发布修复版本 **CyberPanel v2.3.5**。 📢 **建议**：立即升级至该版本或更高版本。

⚠️ **临时规避**：若无法升级，需严格限制 `/filemanager/upload` 接口的访问权限。 🚫 **措施**：通过 WAF 或防火墙阻断未授权访问，或暂时禁用文件管理器上传功能。

🔥 **优先级：极高 (Critical)**。 ⏱️ **CVSS 评分**：9.8 分。 💡 **建议**：立即修补，这是无需认证的 RCE，极易被自动化脚本利用。