← voltar
CVE-2026-57517

Control Web Panel < 0.9.8.1225 Blind SQL Injection via userRes Parameter

CVSS 9.3 CRITICALEPSS 0.6%CWE-89
Vexday Risk Score
48Atenção
Decisão SSVC (CISA)
Attend
PoC disponível → acompanhar de perto
Maturidade do exploit
Prova de conceito
Existe prova de conceito pública, mas ainda não automatizada.
CVSS 9.3EPSS 0.6%KEV nãoPoC públicaNuclei Metasploit Patch referenciado
Ciclo de vida
01 jul 2026Publicada no NVD
04 jul 2026PoC pública
Velocidade de armamento
3 diasaté o primeiro PoC
Armada rapidamente — atacantes priorizaram esta vulnerabilidade. Corrija com urgência.
Recomendação: Planejar correção próxima — já existe PoC pública.
Control Web Panel before 0.9.8.1225 contains a blind SQL injection vulnerability that allows unauthenticated remote attackers to execute arbitrary SQL queries by submitting unsanitized input through the userRes POST parameter at the user endpoint. Attackers can exploit MySQL root privileges obtained via the injection to write arbitrary files using INTO DUMPFILE, enabling deployment of a PHP webshell to the web-accessible roundcube logs directory and achieving remote code execution as the cwpsvc account.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.