从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. WebTerminal Authentication Bypass: - 影响版本:1.9.2 和 2.1.1 - 影响范围:WebTerminal Authentication Bypass - 解决方案:已从版本 2.1.1 开始完全移除此功能。 2. Authentication Bypass and Local File Inclusion (LFI) in CloudAPI: - 影响范围:CloudAPI - 解决方案:已解决,API 访问必须明确打开外部访问,否则默认禁用。 3. Authentication Bypass in File Manager's Upload Functionality: - 影响范围:文件管理器的上传功能 - 解决方案:已解决,由人类错误引起的安全漏洞。 4. Security Middleware Bypass and Bypass of Security Controls in commandInjectionCheck(): - 影响范围:Security Middleware - 解决方案:已解决,实施了覆盖大多数命令注入场景的全面安全检查,并对绕过检查的函数进行了调整,这些函数在由根或外部触发时运行。 5. Insecure Generation and Storage of API Tokens: - 影响范围:API 令牌的生成和存储 - 解决方案:已加强,以确保更安全的过程。 6. Broken Authentication and Local File Inclusion (LFI) in /api/FetchRemoteTransferStatus' endpoint: - 影响范围:/api/FetchRemoteTransferStatus' 端点 - 解决方案:已解决,端点具有适当的认证,但在认证完成之前,特定命令正在运行。此问题已在 2.3.5 版本中修复。 这些信息表明,CyberPanel v2.3.5 版本通过一系列安全措施解决了多个已知漏洞,包括 WebTerminal 认证绕过、CloudAPI 中的 LFI、文件管理器上传功能中的安全漏洞、Security Middleware 中的绕过和安全控制、API 令牌的不安全生成和存储,以及 /api/FetchRemoteTransferStatus' 端点中的 LFI。