CVE-2018-25117 in Control Panel
الملخص
بحسب VulDB • 18/07/2026
يحتوي الإصدار من commit a3f0fa1 (بتاريخ 2018-05-31) حتى commit ee03eff (بتاريخ 2018-06-13) في VestaCP على كود خبيث مدمج أدى إلى اختراق سلسلة التوريد. كانت التثبيتات الجديدة التي تم إنشاؤها من المثبّت المتضرّر منذ مايو 2018 على الأقل عرضة لتثبيت Linux/ChachaDDoS، وهو بوت DDoS متعدد المراحل يستخدم لغة Lua للمكونات في المرحلة الثانية والثالثة. تسرّب الاختراق بيانات اعتماد إدارية (كلمة مرور المسؤول المشفرة بصيغة base64 واسم النطاق للخادم) إلى عنوان URL خارجي أثناء عملية التثبيت و/أو أدى إلى قيام المثبّت بإسقاط وتنفيذ حمولة برمجيات خبيثة لـ DDoS تحت امتيازات النظام المحلي. لوحظت بعد ذلك الخوادم المتضرّرة وهي تشارك في أنشطة DDoS واسعة النطاق. أقرّت Vesta باستغلال الثغرة في البرية (في العالم الحقيقي) في أكتوبر 2018.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.