CVE-2026-34358 in panelinformación

Resumen

por VulDB • 2026-05-24

CtrlPanel es un software de facturación de código abierto para proveedores de alojamiento. Las versiones 1.1.1 y anteriores contienen una vulnerabilidad de control de acceso defectuoso en la que varios controladores de administración aplican comprobaciones de permisos en los métodos de visualización de formularios, pero omiten comprobaciones equivalentes en los métodos de escritura correspondientes, lo que permite que cualquier usuario autenticado eluda el control de acceso basado en roles (RBAC) mediante solicitudes POST/PATCH directas. Los controladores que carecen de comprobaciones en los métodos de escritura store() y update() incluyen ApplicationApiController (admin.api.write), CouponController (admin.coupons.write), PartnerController (admin.partners.write), ShopProductController (admin.store.write), UsefulLinkController (admin.useful_links.write) y VoucherController (admin.voucher.write); ProductController (admin.products.edit), ServerController (write/change_owner/change_identifier) y UserController (write/change_email/change_credits/change_username/change_password/change_role/change_referral/change_ptero/change_serverlimit) carecen de comprobaciones únicamente en update(), y ActivityLogController exponía métodos store()/update() vacíos que aceptaban silenciosamente cualquier solicitud. Un atacante autenticado sin privilegios de escritura de administrador puede emitir credenciales de API, generar cupones y vales ilimitados, asignar tarifas de comisión y descuento de socios arbitrarias, alterar los precios y límites de los productos de la tienda, reasignar la propiedad o los identificadores del servidor, y modificar cuentas de usuario, incluidos roles, créditos, contraseñas e identificadores de Pterodactyl vinculados, para lograr una escalada completa de privilegios, así como abusar de logBackIn() sin el permiso login_as para interferir con las sesiones de suplantación de identidad de administrador. Este problema se ha corregido en la versión 1.2.0.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-03-27

Divulgación

2026-05-20

Moderación

aceptado

Artículo

VDB-364744

CPE

listo

EPSS

0.00032

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-34358
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-34358
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-34358/

AnteriorVisión De ConjuntoPróximo

Want to stay up to date on a daily basis?

Enable the mail alert feature now!