CVE-2026-41473
KrytyczneStreszczenie
Wersje CyberPanel przed 2.4.4 zawierają podatność na obejście uwierzytelniania w punktach końcowych API AI Scanner worker, co pozwala nieautoryzowanym atakującym na zapis dowolnych danych do bazy danych. Atakujący mogą wykorzystać brak kontroli uwierzytelniania do wywołania odmowy usługi poprzez wyczerpanie pamięci, uszkodzenie rekordów historii skanowania oraz zanieczyszczenie pól bazy danych złośliwymi danymi.
Ocena ryzyka
Organizacja narażona jest na ryzyko utraty integralności danych oraz dostępności usług, co może prowadzić do poważnych zakłóceń w działaniu systemu. Wyczerpanie pamięci może skutkować odmową usługi, a złośliwe dane mogą wpłynąć na działanie aplikacji.
Rekomendacja
Zaleca się aktualizację CyberPanel do wersji 2.4.4 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wdrożyć dodatkowe mechanizmy zabezpieczeń, takie jak kontrola dostępu do API.
Oryginalny opis (angielski, źródło NVD)
CyberPanel versions prior to 2.4.4 contain an authentication bypass vulnerability in the AI Scanner worker API endpoints that allows unauthenticated remote attackers to write arbitrary data to the database by sending requests to the /api/ai-scanner/status-webhook and /api/ai-scanner/callback endpoints. Attackers can exploit the lack of authentication checks to cause denial of service through storage exhaustion, corrupt scan history records, and pollute database fields with malicious data.

