Уязвимость в CWP позволяет управлять системой без пароля

Специалисты обнаружили уязвимость в панели управления Control Web Panel (CWP), которая позволяет злоумышленникам выполнять команды на сервере без необходимости ввода пароля. Достаточно знать имя пользователя. Эта проблема затрагивает системы на базе CentOS, AlmaLinux и Rocky Linux. Исследователи из Fenrisk выявили уязвимость с идентификатором CVE-2025-70951, которая позволяет удаленно запускать команды, минуя аутентификацию. Уязвимость возникла на фоне предыдущей проблемы CVE-2025-48703, когда часть уязвимого кода была закрыта не полностью. Хотя разработчики исправили ошибки в файловом менеджере, модуль addons, отвечающий за установку дополнений, остался уязвимым. При установке дополнения сервер не проверяет содержимое параметров, поэтому злоумышленник может внедрить команду, которая затем будет выполнена от имени указанного пользователя. Уязвимость была подтверждена на версиях 0.9.8.1218, 0.9.8.1219 и 0.9.8.1222, а исправление вышло в марте 2026 года.