CVE-2018-25117 in Control Panelinformación

Resumen

por VulDB • 2026-07-18

El commit a3f0fa1 (2018-05-31) de VestaCP hasta el commit ee03eff (2018-06-13) contiene código malicioso embebido que provocó una compromiso en la cadena de suministro. Las nuevas instalaciones creadas a partir del instalador comprometido desde al menos mayo de 2018 estuvieron sujetas a la instalación de Linux/ChachaDDoS, un botnet DDoS multi-etapa que utiliza Lua para los componentes de segunda y tercera etapa. El compromiso filtró credenciales administrativas (contraseña de administrador codificada en base64 y dominio del servidor) hacia una URL externa durante la instalación y/o provocó que el instalador descargara y ejecutara un payload malicioso DDoS con privilegios del sistema local. Se observó posteriormente que los servidores comprometidos participaban en actividades DDoS a gran escala. Vesta reconoció la explotación en entornos reales (in the wild) en octubre de 2018.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

VulnCheck

Reservar

2025-10-14

Divulgación

2025-10-15

Moderación

aceptado

Artículo

VDB-328611

CPE

listo

EPSS

0.00411

KEV

no

Actividades

muy bajo

Fuentes

Do you know our Splunk app?

Download it now for free!