关键信息 漏洞概述 漏洞类型: 任意文件读取漏洞 受影响版本: 1.2.0 - 1.7.2 CVE ID: CVE-2025-53363 严重性: 高 漏洞描述 Dpanel 在 接口中存在任意文件读取漏洞。登录到 Dpanel 后,攻击者可以利用此接口读取任意文件。 漏洞细节 当用户登录到管理后端时,该接口可以读取主机/服务器上的任何文件(在给定必要权限的情况下),这可能导致系统信息泄露。漏洞在于 函数中,用户提交的 参数可以直接读取并返回文件内容,而没有进行适当的安全处理。 PoC (概念验证) 影响 此漏洞可能导致敏感服务器文件信息的泄露。在 1.2.0 到最新版本(1.7.2)之间,登录用户可以向此接口发送请求。