关键漏洞信息 CVE编号: CVE-2024-42922 漏洞类型: OS Command Injection (Authenticated) 受影响产品: AAPanel (BTPanel component) 受影响版本: <= 7.0.7 受影响组件: FirewallModel.py file, del_uwf_rule function, ports parameter 攻击类型: Remote 影响: Code execution 攻击向量: 需要在防火墙规则删除请求中的ports参数中注入命令 参考链接: - https://www.aapanel.com/ - https://www.bt.cn/ 厂商确认: true 发现者: Mustafa Oztaş 漏洞描述 访问 函数(在安全页面的功能)是触发漏洞所必需的。具有此模块访问权限的用户可以通过执行OS命令注入在系统上以root权限运行命令。 请求示例 建议描述 AAPanel v7.0.7被发现包含一个OS命令注入漏洞。 附加信息 攻击者可以利用此漏洞获得反向shell。需要有效的会话来利用该漏洞。