CVE-2026-34233 in panel
Résumé
par VulDB • 20/05/2026
CtrlPanel est un logiciel de facturation open source destiné aux fournisseurs d'hébergement. Dans les versions 1.1.1 et antérieures, plusieurs contrôleurs administrateurs exposent des points de terminaison DataTable sans vérification d'autorisation, permettant à tout utilisateur authentifié d'accéder à des données administratives sensibles qui devraient être restreintes aux seuls administrateurs. Les contrôleurs administrateurs concernés définissent des méthodes `datatable()` accessibles via des requêtes GET, mais dépourvues de toute vérification de permission ou de rôle. Étant donné que ces routes sont préfixées par `/admin/`, les opérateurs peuvent supposer qu'elles sont protégées ; cependant, le middleware appliqué à ce groupe de routes n'impose pas d'autorisation de niveau administrateur sur ces points de terminaison spécifiques. Par conséquent, tout utilisateur authentifié (quel que soit son rôle) peut interroger ces points de terminaison et recevoir des réponses JSON paginées contenant des enregistrements sensibles. L'exploitation de cette vulnérabilité peut entraîner l'énumération des données personnelles identifiables (PII) des utilisateurs, des enregistrements de paiement et de transaction, des codes de bons et de coupons actifs, de la structure des rôles et des permissions, des mappages de propriété des serveurs et du contenu des tickets de support. Ce problème a été corrigé dans la version 1.2.0.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.