CVE-2025-48703 — 神龙十问 AI 深度分析摘要

🚨 **本质**：操作系统命令注入 (OS Command Injection)。 💥 **后果**：攻击者可实现 **远程代码执行 (RCE)**，完全控制服务器。

🛠️ **CWE**：CWE-78 (OS Command Injection)。 📍 **缺陷点**：`filemanager` 模块中 `changePerm` 请求的 **`t_total` 参数** 未过滤 shell 元字符。

📦 **产品**：Control Web Panel (CWP) / CentOS Web Panel。 📉 **版本**：**0.9.8.1205 之前** 的所有版本。

🔓 **权限**：可执行任意系统命令。 📂 **数据**：获取服务器最高权限，建立反向 Shell，窃取敏感数据或横向移动。

🔑 **认证**：需知道有效的 **非 root 用户名** (非完全无认证)。 🎯 **难度**：网络访问 (AV:N)，但攻击复杂度较高 (AC:H)。

💻 **Exp**：有！GitHub 上已有多个 PoC/Exploit (如 `trhacknon`, `Skynoxk`, `itstarsec` 等)。 🔍 **扫描**：ProjectDiscovery Nuclei 模板已发布。

🔍 **自查**：使用 Shodan 搜索 `Server: cwpsrv`。 🧪 **测试**：构造包含 shell 元字符的 `t_total` 参数请求 `filemanager?acc=changePerm`。

🛡️ **补丁**：**已修复**。 ✅ **版本**：升级至 **0.9.8.1205** 或更高版本。

⚠️ **临时规避**：若无法升级，限制 `filemanager` 模块访问权限。 🚫 **WAF**：拦截包含 shell 元字符的 `t_total` 参数请求。

🔥 **优先级**：**高**。 📢 **建议**：立即升级面板版本，或实施严格的网络访问控制，防止 RCE 发生。