CVE-2026-34246 in panel
요약
\~에 의해 VulDB • 2026. 05. 20.
CtrlPanel은 호스팅 제공자를 위한 오픈소스 청구 소프트웨어입니다. 버전 1.1.1 및 이전 버전에는 관리자 역할 관리 인터페이스에 저장형 크로스 사이트 스크립팅(XSS) 취약점이 존재합니다. app/Http/Controllers/Admin/RoleController.php 파일의 datatable() 메서드는 $role->name 및 $role->color를 직접 HTML 요소의 HTML 및 style 속성에 삽입하며, 이때 sanitization(정제) 처리가 이루어지지 않습니다. 또한 연결된 .rawColumns(['actions', 'name']) 호출은 DataTables로 하여금 name 열을 원시 HTML로 렌더링하도록 지시하여 자동 출력 이스케이프를 우회합니다. 역할 생성 또는 수정 권한이 있는 관리자는 name 또는 color 필드에 <script>와 같은 페이로드를 주입할 수 있으며, 이는 데이터베이스에 영구 저장되어 /admin/roles 페이지를 로드하는 모든 관리자의 브라우저에서 실행됩니다. 이를 통해 쿠키 탈취를 통한 세션 하이재킹, 가짜 로그인 프롬프트 또는 키로거를 통한 자격 증명 수집, 피해자를 대신하여 관리자 작업을 수행하는 수평적 권한 상승, 그리고 악성 역할 레코드가 제거될 때까지 페이지 로드마다 재실행되는 영구 백도어가 가능해집니다. 이 문제는 버전 1.2.0에서 해결되었습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.