CVE-2026-57517
Control Web Panel < 0.9.8.1225 Blind SQL Injection via userRes Parameter
Vexday Risk Score
48Atenção
Decisão SSVC (CISA)
Attend
PoC disponível → acompanhar de perto
Maturidade do exploit
Prova de conceito
Existe prova de conceito pública, mas ainda não automatizada.
CVSS 9.3EPSS 0.6%KEV nãoPoC públicaNuclei —Metasploit —Patch referenciado
Ciclo de vida
01 jul 2026Publicada no NVD
04 jul 2026PoC pública
Velocidade de armamento
3 diasaté o primeiro PoC
Armada rapidamente — atacantes priorizaram esta vulnerabilidade. Corrija com urgência.
Recomendação: Planejar correção próxima — já existe PoC pública.
Control Web Panel before 0.9.8.1225 contains a blind SQL injection vulnerability that allows unauthenticated remote attackers to execute arbitrary SQL queries by submitting unsanitized input through the userRes POST parameter at the user endpoint. Attackers can exploit MySQL root privileges obtained via the injection to write arbitrary files using INTO DUMPFILE, enabling deployment of a PHP webshell to the web-accessible roundcube logs directory and achieving remote code execution as the cwpsvc account.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Produtos afetados
Control Web Panel · Control Web PanelPoCs públicas encontradas — 3
githubgithub.com/shinthink/CVE-2026-57517★ 0githubgithub.com/gagaltotal/CVE-2026-57517-CWP★ 0cve_referencekarmainsecurity.com/KIS-2026-12não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.