漏洞概况

1Panel 提供了一个直观的 Web 界面,帮助用户轻松管理 Linux 服务器中的应用、网站、文件、数据库以及大语言模型。

近日,微步情报局获取到1Panel修复了一处远程命令注入漏洞(CVE-2025-54424)微步情报局已成功复现该漏洞 。经分析该漏洞在1Panel专业版中通过绕过证书校验造成未授权访问,通过结合命令执行接口可造成远程命令注入。

该漏洞的环境要求为存在非主从节点(仅有主节点不受影响),但由于该产品的使用场景通常要配置多个节点,因此受该漏洞影响。建议受影响用户尽快修复。

漏洞处置优先级(VPT)

漏洞影响范围

漏洞复现

修复方案

官方修复方案

官方已发布修复方案,请访问链接下载:

https://github.com/1Panel-dev/1Panel/releases/tag/v2.0.6

临时修复方案:

  • 使用防护类设备进行防护,限制访问/api/v2/hosts/terminal路径,拦截请求中出现的恶意WebSocket数据包

  • 如非必要,避免将资产暴露在互联网。

微步产品侧支持情况

  • 微步威胁感知平台TDP已支持检测,检测ID:S3100166706 ,模型/规则高于20250804000000可检出。