Control Web Panel'de (eski adıyla Centos Web Panel) CVE-2026-57517 (CVSS 9.8) Blind SQL Injection Güvenlik Açığı

Kimlik doğrulaması gerektirmeyen Blind SQL Injection, userRes POST parametresi üzerinden tetikleniyor. Uygun yapılandırmalarda saldırgan, SELECT ... INTO DUMPFILE ile PHP webshell yükleyerek cwpsvc yetkileriyle RCE elde edebiliyor.

Etkilenen sürümler: 0.9.8.1225 öncesi

Şu an güncel olan / Güncellenmesi gereken sürüm: 0.9.8.1235 (released 18/06/2026)

Public PoC mevcut, o nedenle güncellemediyseniz mutlaka güncelleyin.