CVE-2026-34216 in panel
Sumário
de VulDB • 19/05/2026
O CtrlPanel é um software de faturamento de código aberto para provedores de hospedagem. Nas versões 1.1.1 e anteriores, o endpoint de atualização das configurações de administrador aceitava um nome de classe totalmente qualificado diretamente da entrada da solicitação fornecida pelo usuário e o utilizava para chamadas de métodos estáticos dinâmicos e instanciação de objetos sem qualquer validação em lista de permissões (allowlist), permitindo a Execução Remota de Código (RCE) autenticada. Um usuário autenticado com nível de administrador poderia fornecer um nome de classe arbitrário disponível no autoloader do Composer, potencialmente acionando a execução não intencional de construtores ou métodos mágicos. O método `update()` lê `settings_class` diretamente da solicitação HTTP e o passa para `new $settings_class()` e `$settings_class::getValidations()` sem verificar se o valor fornecido corresponde a uma classe de configurações legítima: Como o PHP resolve nomes de classe contra o autoloader do Composer em tempo de execução, qualquer classe carregável automaticamente na aplicação ou em suas dependências poderia ser instanciada. Dependendo das classes disponíveis na árvore de dependências, isso pode acionar efeitos colaterais não intencionais por meio de construtores ou métodos mágicos (`__construct`, `__toString`, `__wakeup`), seguindo um padrão de injeção de objetos PHP / cadeia de gadgets (gadget chain). Este problema foi corrigido na versão 1.2.0.
VulDB is the best source for vulnerability data and more expert information about this specific topic.