Pubblicato il 2026-07-01 · Fonte: NVD NIST
La vulnerabilità CVE-2026-57517 è una vulnerabilità di SQL injection che colpisce il Control Web Panel prima della versione 0.9.8.1225. Questa vulnerabilità consente a un attaccante remoto non autenticato di eseguire query SQL arbitrarie inviando input non sanificati tramite il parametro POST userRes all'endpoint utente. La CWE-89 classifica questa vulnerabilità come una debolezza di iniezione SQL. La gravità di questa vulnerabilità è classificata come critica, con un punteggio CVSS di 9.8.
Un attaccante può sfruttare questa vulnerabilità per ottenere privilegi di root su MySQL e scrivere file arbitrari utilizzando INTO DUMPFILE, consentendo il deploy di una webshell PHP nella directory dei log di Roundcube e ottenendo l'esecuzione di codice remoto come utente cwpsvc. Ciò può portare a un accesso non autorizzato ai dati e alla possibilità di eseguire azioni maliziose all'interno del sistema.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare il Control Web Panel alla versione 0.9.8.1225 o successiva. Inoltre, è importante adottare pratiche di sicurezza generali come il sanitizing degli input utente, l'utilizzo di prepared statement e l'implementazione di un Web Application Firewall (WAF) per proteggere l'applicazione web da attacchi di iniezione SQL.
La vulnerabilità CVE-2026-57517 è una vulnerabilità di SQL injection che colpisce il Control Web Panel prima della versione 0.9.8.1225.
Un attaccante può sfruttare questa vulnerabilità per ottenere privilegi di root su MySQL e scrivere file arbitrari, consentendo l'esecuzione di codice remoto come utente cwpsvc.
Per proteggersi da questa vulnerabilità, si consiglia di aggiornare il Control Web Panel alla versione 0.9.8.1225 o successiva e di adottare pratiche di sicurezza generali come il sanitizing degli input utente e l'utilizzo di prepared statement.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.