CVE-2018-25117 in Control Panelinformation

Résumé

par VulDB • 18/07/2026

Le commit a3f0fa1 (2018-05-31) jusqu'au commit ee03eff (2018-06-13) de VestaCP contiennent du code malveillant intégré qui a entraîné une compromission de la chaîne d'approvisionnement. Les nouvelles installations créées à partir de l'installateur compromis depuis au moins mai 2018 ont été sujettes à l'installation de Linux/ChachaDDoS, un botnet DDoS multi-étapes utilisant Lua pour les composants des deuxième et troisième étapes. La compromission a divulgué des identifiants administratifs (mot de passe admin encodé en base64 et domaine du serveur) vers une URL externe lors de l'installation et/ou a conduit l'installateur à déposer et exécuter un payload malveillant DDoS avec les privilèges du système local. Des serveurs compromis ont ensuite été observés participant à des activités DDoS à grande échelle. Vesta a reconnu une exploitation dans la nature en octobre 2018.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

VulnCheck

Réserver

14/10/2025

Divulgation

15/10/2025

Modérer

accepté

Entrée

VDB-328611

CPE

prêt

EPSS

0.00411

KEV

non

Activités

très faible

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!