CyberPanel v2.4.3 一键远程代码执行漏洞总结 漏洞概述 该漏洞源于 CyberPanel 自定义安全中间件( )对 路径的空白认证绕过。由于中间件未对 下所有端点强制鉴权,攻击者可利用未受保护的 AI 扫描器 API 注入恶意数据,最终通过存储型 XSS 实现远程代码执行。 影响范围 受影响版本:CyberPanel v2.4.3 漏洞类型:未授权数据库污染、存储型 XSS、远程代码执行 利用条件:无需认证(Pre-Auth),需触发一次合法扫描以获取 修复方案 移除允许未授权请求的危险认证回退机制 添加 API 密钥验证以校验数据库记录 为每个工作进程实施唯一的加密 API 密钥,防止密钥重用 利用代码 (POC) 1. 数据库注入载荷 2. 前端渲染逻辑 (XSS 触发点)