CVE-2026-34358 in panelinfo

Zusammenfassung

von VulDB • 20.05.2026

CtrlPanel ist eine Open-Source-Abrechnungssoftware für Hosting-Anbieter. Die Versionen 1.1.1 und älter enthalten eine Schwachstelle mit fehlerhafter Zugriffskontrolle, bei der mehrere Admin-Controller Berechtigungsprüfungen für Methoden zur Anzeige von Formularen durchführen, jedoch äquivalente Prüfungen für die entsprechenden Schreibmethoden unterlassen. Dies ermöglicht es jedem authentifizierten Benutzer, die rollenbasierte Zugriffskontrolle (RBAC) durch direkte POST-/PATCH-Anfragen zu umgehen. Controller, die Prüfungen für die Schreibmethoden `store()` und `update()` vermissen lassen, sind ApplicationApiController (admin.api.write), CouponController (admin.coupons.write), PartnerController (admin.partners.write), ShopProductController (admin.store.write), UsefulLinkController (admin.useful_links.write) und VoucherController (admin.voucher.write). ProductController (admin.products.edit), ServerController (write/change_owner/change_identifier) und UserController (write/change_email/change_credits/change_username/change_password/change_role/change_referral/change_ptero/change_serverlimit) weisen fehlende Prüfungen nur für `update()` auf, und ActivityLogController bot leere Stub-Methoden `store()`/`update()` an, die jede Anfrage stillschweigend akzeptierten. Ein authentifizierter Angreifer ohne Admin-Schreibrechte kann API-Anmeldeinformationen ausstellen, unbegrenzt Gutscheine und Vouchers generieren, beliebige Partnerprovisionen und Rabattsätze zuweisen, die Preisgestaltung und Limits von Shop-Produkten ändern, die Servereigentümerschaft oder -kennungen neu zuweisen und Benutzerkonten einschließlich Rollen, Guthaben, Passwörtern und verknüpften Pterodactyl-IDs modifizieren, um eine vollständige Privilegieneskalation zu erreichen. Zudem kann die Methode `logBackIn()` ohne die Berechtigung `login_as` missbraucht werden, um Admin-Impersonation-Sitzungen zu stören. Dieses Problem wurde in Version 1.2.0 behoben.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

27.03.2026

Veröffentlichung

20.05.2026

Moderieren

akzeptiert

Eintrag

VDB-364744

CPE

bereit

EPSS

0.00032

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-34358
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-34358
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-34358/

ZurückÜbersichtWeiter

Interested in the pricing of exploits?

See the underground prices here!