漏洞概述
Hestia Control Panel 1.3.2 版本中存在一个任意文件写入漏洞,经过身份验证的攻击者可通过 API 的 index.php 端点利用 v-make-tmp-file 命令向服务器上的任意路径写入文件,例如写入 SSH 密钥或其他恶意内容,从而可能导致远程代码执行或系统完全被控制。
漏洞详情
- CVE 编号:CVE-2021-47871
- 漏洞类型:任意文件写入(CWE-73:文件名或路径的外部控制)
- CVSS 评分:CVSS v3.1 基础评分为 8.8(HIGH),CVSS v4.0 基础评分为 8.6(HIGH)
- 影响版本:Hestia Control Panel 1.3.2
影响范围
该漏洞影响 Hestia Control Panel 1.3.2 版本。任何部署了该版本且未打补丁的服务器均可能受到攻击,前提是攻击者拥有有效的认证凭据(低权限账户即可)。
风险分析
攻击者在获得低权限账户后,可利用此漏洞向系统关键路径(如 ~/.ssh/authorized_keys)写入任意内容,从而实现持久化访问或远程代码执行。由于漏洞可通过网络直接利用、无需用户交互,且对机密性、完整性与可用性均造成高影响,因此风险等级较高。
修复建议
- 建议立即升级至 Hestia Control Panel 官方发布的最新安全版本(高于 1.3.2)。
- 若无法立即升级,应限制对管理 API 的访问,仅允许可信 IP 访问,并严格审计用户权限,避免低权限账户滥用。
