CRITICAL🇬🇧 English

CVE-2014-125123

SQL injection w Kloxo umożliwiający RCE jako root

CVSS 10.0v4.0pub. 2025-07-31upd. 2026-04-15

W panelu sterowania Kloxo (LXCenter) przed wersją 6.1.12 istnieje podatność SQL injection w parametrze login-name, która pozwala nieuwierzytelnionemu atakującemu wydobyć hasło administratora z bazy danych. Po przejęciu danych uwierzytelniających możliwe jest wykonanie dowolnych poleceń systemu operacyjnego z uprawnieniami root.

Pokaż oryginał (EN)

An unauthenticated SQL injection vulnerability exists in the Kloxo web hosting control panel (developed by LXCenter) prior to version 6.1.12. The flaw resides in the login-name parameter passed to lbin/webcommand.php, which fails to properly sanitize input, allowing an attacker to extract the administrator’s password from the backend database. After recovering valid credentials, the attacker can authenticate to the Kloxo control panel and leverage the Command Center feature (display.php) to execute arbitrary operating system commands as root on the underlying host system. This vulnerability was reported to be exploited in the wild in January 2014.

🤖 Analiza AI
Jak działa

Parametr login-name przekazywany do skryptu lbin/webcommand.php nie jest odpowiednio oczyszczany, co umożliwia wstrzyknięcie złośliwego kodu SQL (CWE-89). Atakujący może w ten sposób odczytać hasło administratora przechowywane w backendowej bazie danych bez jakiegokolwiek uwierzytelnienia. Po zalogowaniu się na konto administratora atakujący wykorzystuje funkcję Command Center (display.php) do wykonania dowolnych poleceń systemowych. Komendy te są uruchamiane z uprawnieniami root na hoście, co oznacza pełne przejęcie kontroli nad serwerem.

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem, wykonując dowolne polecenia systemu operacyjnego z uprawnieniami root — łącznie z instalacją backdoorów, kradzieżą danych i przejęciem wszystkich hostowanych serwisów.

Mitygacja

Należy zaktualizować Kloxo do wersji 6.1.12 lub nowszej. Jeśli aktualizacja nie jest możliwa, należy natychmiast ograniczyć dostęp do panelu Kloxo na poziomie firewall do zaufanych adresów IP oraz rozważyć migrację do alternatywnego rozwiązania.

Kogo dotyczy

Kloxo (LXCenter) w wersjach wcześniejszych niż 6.1.12

Uwagi

Według opisu podatność była aktywnie wykorzystywana w środowisku produkcyjnym w styczniu 2014 roku. Dostępny jest publiczny moduł exploit w Metasploit Framework oraz wpis w Exploit-DB (EDB-31577). Mimo to pole CISA KEV wskazuje brak oficjalnego wpisu w katalogu znanych exploitowanych podatności.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje