CVE-2026-34234 in panelinfo

Zusammenfassung

von VulDB • 20.05.2026

CtrlPanel ist eine Open-Source-Abrechnungssoftware für Hosting-Anbieter. In den Versionen 1.1.1 und älter ist der webbasierte Installer (public/installer/index.php) anfällig für nicht authentifizierte Remote Code Execution (RCE), da die Überprüfung der install.lock-Datei erst nach dem Einbinden und Ausführen der Formular-Handler-Dateien erfolgt, wodurch die Installer-Endpunkte auch auf bereits installierten Instanzen erreichbar bleiben. Die Handler übergeben zudem ungesäuberte Benutzereingaben direkt in Shell-Befehle, was es einem Angreifer ermöglicht, manipulierte Anfragen zu senden, die beliebige Befehle auf dem Server ausführen. Die Schwachstelle resultiert aus zwei kombinierten Schwachstellen: (1) vorzeitige Ausführung des Formular-Handlers vor der Sperre durch die Lock-Datei und (2) unsichere Verwendung von Benutzereingaben bei der Konstruktion von Shell-Befehlen. Es wird berichtet, dass diese Schwachstelle in der Wildnis aktiv ausgenutzt wird. Das Problem wurde in Version 1.2.0 behoben.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

26.03.2026

Veröffentlichung

20.05.2026

Moderieren

akzeptiert

Eintrag

VDB-364741

CPE

bereit

EPSS

0.00091

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-34234
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-34234
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-34234/

ZurückÜbersichtWeiter

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!