CISA dodaje luki w Gladinet CentreStack/Triofox i Control Web Panel do katalogu KEV. Patchuj do 25 listopada 2025

Co znajdziesz w tym artykule?

1 Wprowadzenie do problemu / definicja luki
2 W skrócie
3 Kontekst / historia / powiązania
4 Analiza techniczna / szczegóły luki
- 4.1 Gladinet CentreStack/Triofox — CVE-2025-11371 (LFI)
- 4.2 Control Web Panel — CVE-2025-48703 (OS Command Injection / RCE)
5 Praktyczne konsekwencje / ryzyko
6 Rekomendacje operacyjne / co zrobić teraz
7 Różnice / porównania z innymi przypadkami
8 Podsumowanie / kluczowe wnioski
9 Źródła / bibliografia

Wprowadzenie do problemu / definicja luki

Amerykańska CISA dodała do katalogu Known Exploited Vulnerabilities (KEV) dwie aktywnie wykorzystywane luki: CVE-2025-11371 w Gladinet CentreStack/Triofox oraz CVE-2025-48703 w Control Web Panel (CWP, dawniej CentOS Web Panel). Agencje FCEB mają czas na wdrożenie poprawek lub środki zaradcze do 25 listopada 2025 r.. Informację nagłośnił m.in. The Hacker News.

W skrócie

Gladinet CentreStack/Triofox – CVE-2025-11371 (LFI): nieauthoryzowany Local File Inclusion umożliwia odczyt plików systemowych w domyślnej instalacji; obserwowane wykorzystanie w atakach. W praktyce może prowadzić do eskalacji do RCE, np. przez wyciek kluczy i łańcuchowanie z innymi słabościami.
Control Web Panel – CVE-2025-48703 (RCE): OS Command Injection w parametrze t_total żądania filemanager changePerm daje nieautoryzowane RCE (wystarczy znać dowolną nie-root nazwę użytkownika). Zalecana wersja: ≥ 0.9.8.1205. Aktywnie wykorzystywana.
Termin CISA (FCEB): 25.11.2025 jako deadline na działania naprawcze.

Kontekst / historia / powiązania

Luka CVE-2025-11371 była opisana przez zespoły monitorujące incydenty (Huntress) jako 0-day wykorzystywany „na wolności” przeciw instancjom CentreStack/Triofox, z naciskiem na to, że dotyczy domyślnej konfiguracji i najnowszych wówczas wydań. CISA włączyła podatność do KEV po potwierdzeniu aktywnej eksploatacji.
W przypadku CWP podatność CVE-2025-48703 została szeroko udokumentowana (NVD, społeczność), z publicznymi PoC-ami i dyskusją o łańcuchu ataku wymagającym znajomości nazwy użytkownika. CISA ostrzega, że wektory tego typu są częstym celem atakujących.

Analiza techniczna / szczegóły luki

Gladinet CentreStack/Triofox — CVE-2025-11371 (LFI)

Wpływ: nieautoryzowany LFI → odczyt plików (np. web.config, klucze, sekrety). Dotyczy domyślnej instalacji/konfiguracji wersji do i włącznie z 16.7.10368.56560.
Eksploatacja: napastnik żąda ścieżek systemowych, uzyskuje konfiguracje/sekrety → możliwe RCE pośrednie (np. przejęcie kluczy, łańcuchowanie z deserializacją). Huntress potwierdza ataki „in the wild”.

Control Web Panel — CVE-2025-48703 (OS Command Injection / RCE)

Wpływ: pre-auth RCE (wymagana znajomość dowolnej poprawnej nazwy użytkownika); wektor to wstrzyknięcie metaznaków powłoki w parametrze t_total podczas filemanager&acc=changePerm.
Zasięg: wersje < 0.9.8.1205. Napastnik może wykonać dowolne polecenia systemowe w kontekście aplikacji/panelu.

Praktyczne konsekwencje / ryzyko

Gladinet: wyciek kluczy/sekretów → pełne przejęcie aplikacji lub serwera przez łańcuchowanie (np. podpisywanie payloadów, manipulacja sesjami). Wysokie ryzyko dla MSP i środowisk z publikacją portali do Internetu.
CWP: zdalne wykonanie kodu na hostach panelu → pivot na serwery klientów (Apache/Nginx/MySQL), kradzież danych, implanty, ransomware. Publiczne PoC-e zwiększają tempo skanowania i masowej eksploatacji.

Rekomendacje operacyjne / co zrobić teraz

Wspólne:

Ogranicz ekspozycję do paneli/portali (ACL, VPN, IP allowlist, geofencing).
WAF/IPS: reguły blokujące LFI i metaznaki powłoki (;, `, |, &&) w ścieżkach/parametrach.
Telemetria: monitoruj nietypowe żądania do endpointów portalu (Gladinet) i modułu filemanager (CWP); alertuj na odczyty plików konfiguracyjnych i żądania z t_total.
IR: przeszukaj logi pod kątem prób LFI i poleceń; rotuj klucze/sekrety, tokeny i hasła jeśli portal/panel był wystawiony.

Gladinet CentreStack/Triofox (CVE-2025-11371):

Zaktualizuj do najnowszej dostępnej wersji i zastosuj mitigacje dostawcy; jeśli aktualizacja jest niemożliwa, tymczasowo wyłącz publiczny dostęp portalu. Monitoruj pod kątem odczytu web.config i podobnych wrażliwych plików.

Control Web Panel (CVE-2025-48703):

Aktualizuj do ≥ 0.9.8.1205 niezwłocznie; jeśli aktualizacja nie jest możliwa — odetnij porty CWP od Internetu, włącz 2FA na panelach, wymuś zmianę wszystkich haseł.

Terminy dla FCEB: wdrożenie poprawek/mitigacji do 25 listopada 2025 r. (KEV due date).

Różnice / porównania z innymi przypadkami

LFI (Gladinet) to głównie wyciek informacji z potencjałem na RCE przez łańcuchowanie;
Command Injection (CWP) to bezpośrednie RCE po spełnieniu lekkiego warunku (znajomość nazwy użytkownika).
Obie luki są w KEV z uwagi na realne, potwierdzone ataki.

Podsumowanie / kluczowe wnioski

Dwie różne klasy błędów (LFI vs. OS Command Injection), wspólny mianownik: aktywna eksploatacja i publiczne techniki ataku.
Priorytet: aktualizacje (Gladinet do najnowszych wydań; CWP do ≥ 0.9.8.1205), redukcja ekspozycji, monitoring i rotacja sekretów.
Deadline CISA (FCEB): 25.11.2025 — dobry punkt odniesienia dla wszystkich organizacji.

Źródła / bibliografia

CISA KEV — wpisy i termin działań (dodane 4 listopada 2025): due date 25.11.2025. (CISA)
The Hacker News: „CISA Adds Gladinet and CWP Flaws to KEV Catalog…” (05.11.2025). (The Hacker News)
NVD: CVE-2025-11371 — Gladinet CentreStack/Triofox LFI (opis, zakres). (NVD)
NVD: CVE-2025-48703 — CWP OS Command Injection (RCE). (NVD)
Huntress: „Active Exploitation of Gladinet CentreStack and Triofox LFI” — potwierdzenie ataków, techniczne tło. (Huntress)