Wprowadzenie do problemu / definicja luki
Amerykańska CISA dodała do katalogu Known Exploited Vulnerabilities (KEV) dwie aktywnie wykorzystywane luki: CVE-2025-11371 w Gladinet CentreStack/Triofox oraz CVE-2025-48703 w Control Web Panel (CWP, dawniej CentOS Web Panel). Agencje FCEB mają czas na wdrożenie poprawek lub środki zaradcze do 25 listopada 2025 r.. Informację nagłośnił m.in. The Hacker News.
W skrócie
- Gladinet CentreStack/Triofox – CVE-2025-11371 (LFI): nieauthoryzowany Local File Inclusion umożliwia odczyt plików systemowych w domyślnej instalacji; obserwowane wykorzystanie w atakach. W praktyce może prowadzić do eskalacji do RCE, np. przez wyciek kluczy i łańcuchowanie z innymi słabościami.
- Control Web Panel – CVE-2025-48703 (RCE): OS Command Injection w parametrze
t_totalżądaniafilemanager changePermdaje nieautoryzowane RCE (wystarczy znać dowolną nie-root nazwę użytkownika). Zalecana wersja: ≥ 0.9.8.1205. Aktywnie wykorzystywana. - Termin CISA (FCEB): 25.11.2025 jako deadline na działania naprawcze.
Kontekst / historia / powiązania
Luka CVE-2025-11371 była opisana przez zespoły monitorujące incydenty (Huntress) jako 0-day wykorzystywany „na wolności” przeciw instancjom CentreStack/Triofox, z naciskiem na to, że dotyczy domyślnej konfiguracji i najnowszych wówczas wydań. CISA włączyła podatność do KEV po potwierdzeniu aktywnej eksploatacji.
W przypadku CWP podatność CVE-2025-48703 została szeroko udokumentowana (NVD, społeczność), z publicznymi PoC-ami i dyskusją o łańcuchu ataku wymagającym znajomości nazwy użytkownika. CISA ostrzega, że wektory tego typu są częstym celem atakujących.
Analiza techniczna / szczegóły luki
Gladinet CentreStack/Triofox — CVE-2025-11371 (LFI)
- Wpływ: nieautoryzowany LFI → odczyt plików (np.
web.config, klucze, sekrety). Dotyczy domyślnej instalacji/konfiguracji wersji do i włącznie z 16.7.10368.56560. - Eksploatacja: napastnik żąda ścieżek systemowych, uzyskuje konfiguracje/sekrety → możliwe RCE pośrednie (np. przejęcie kluczy, łańcuchowanie z deserializacją). Huntress potwierdza ataki „in the wild”.
Control Web Panel — CVE-2025-48703 (OS Command Injection / RCE)
- Wpływ: pre-auth RCE (wymagana znajomość dowolnej poprawnej nazwy użytkownika); wektor to wstrzyknięcie metaznaków powłoki w parametrze
t_totalpodczasfilemanager&acc=changePerm. - Zasięg: wersje < 0.9.8.1205. Napastnik może wykonać dowolne polecenia systemowe w kontekście aplikacji/panelu.
Praktyczne konsekwencje / ryzyko
- Gladinet: wyciek kluczy/sekretów → pełne przejęcie aplikacji lub serwera przez łańcuchowanie (np. podpisywanie payloadów, manipulacja sesjami). Wysokie ryzyko dla MSP i środowisk z publikacją portali do Internetu.
- CWP: zdalne wykonanie kodu na hostach panelu → pivot na serwery klientów (Apache/Nginx/MySQL), kradzież danych, implanty, ransomware. Publiczne PoC-e zwiększają tempo skanowania i masowej eksploatacji.
Rekomendacje operacyjne / co zrobić teraz
Wspólne:
- Ogranicz ekspozycję do paneli/portali (ACL, VPN, IP allowlist, geofencing).
- WAF/IPS: reguły blokujące LFI i metaznaki powłoki (
;,`,|,&&) w ścieżkach/parametrach. - Telemetria: monitoruj nietypowe żądania do endpointów portalu (Gladinet) i modułu
filemanager(CWP); alertuj na odczyty plików konfiguracyjnych i żądania zt_total. - IR: przeszukaj logi pod kątem prób LFI i poleceń; rotuj klucze/sekrety, tokeny i hasła jeśli portal/panel był wystawiony.
Gladinet CentreStack/Triofox (CVE-2025-11371):
- Zaktualizuj do najnowszej dostępnej wersji i zastosuj mitigacje dostawcy; jeśli aktualizacja jest niemożliwa, tymczasowo wyłącz publiczny dostęp portalu. Monitoruj pod kątem odczytu
web.configi podobnych wrażliwych plików.
Control Web Panel (CVE-2025-48703):
- Aktualizuj do ≥ 0.9.8.1205 niezwłocznie; jeśli aktualizacja nie jest możliwa — odetnij porty CWP od Internetu, włącz 2FA na panelach, wymuś zmianę wszystkich haseł.
Terminy dla FCEB: wdrożenie poprawek/mitigacji do 25 listopada 2025 r. (KEV due date).
Różnice / porównania z innymi przypadkami
- LFI (Gladinet) to głównie wyciek informacji z potencjałem na RCE przez łańcuchowanie;
- Command Injection (CWP) to bezpośrednie RCE po spełnieniu lekkiego warunku (znajomość nazwy użytkownika).
Obie luki są w KEV z uwagi na realne, potwierdzone ataki.
Podsumowanie / kluczowe wnioski
- Dwie różne klasy błędów (LFI vs. OS Command Injection), wspólny mianownik: aktywna eksploatacja i publiczne techniki ataku.
- Priorytet: aktualizacje (Gladinet do najnowszych wydań; CWP do ≥ 0.9.8.1205), redukcja ekspozycji, monitoring i rotacja sekretów.
- Deadline CISA (FCEB): 25.11.2025 — dobry punkt odniesienia dla wszystkich organizacji.
Źródła / bibliografia
- CISA KEV — wpisy i termin działań (dodane 4 listopada 2025): due date 25.11.2025. (CISA)
- The Hacker News: „CISA Adds Gladinet and CWP Flaws to KEV Catalog…” (05.11.2025). (The Hacker News)
- NVD: CVE-2025-11371 — Gladinet CentreStack/Triofox LFI (opis, zakres). (NVD)
- NVD: CVE-2025-48703 — CWP OS Command Injection (RCE). (NVD)
- Huntress: „Active Exploitation of Gladinet CentreStack and Triofox LFI” — potwierdzenie ataków, techniczne tło. (Huntress)
