DPanel には、github.com/donknap/dpanel の /api/common/attach/delete インターフェースにおいて、任意のファイル削除の脆弱性が存在します。

この脆弱性は、攻撃者がDPanelの/api/common/attach/deleteインターフェースを悪用することで、サーバー上の任意のファイルを削除することを可能にします。攻撃者は、機密情報を含むファイルを削除することで、情報漏洩やシステムの停止を引き起こす可能性があります。特に、設定ファイルやデータベースファイルが削除された場合、システム全体の機能が損なわれる可能性があります。この脆弱性は、類似のファイル操作脆弱性と共通の攻撃パターンを持ち、悪用される可能性があります。

Organizations running DPanel, particularly those hosting websites or applications with sensitive data, are at risk. Shared hosting environments utilizing DPanel are especially vulnerable, as a compromise of one user's account could potentially impact other users on the same server. Legacy DPanel installations with outdated configurations are also at increased risk.

• go / server: Inspect DPanel logs for suspicious requests to /api/common/attach/delete with unusual parameters. Monitor file system integrity for unexpected deletions.

journalctl -u dpanel | grep '/api/common/attach/delete'

• generic web: Monitor access logs for requests to /api/common/attach/delete originating from unusual IP addresses or user agents.

grep '/api/common/attach/delete' /var/log/apache2/access.log

1. 2026-01-23Disclosure

   disclosure

1. 予約済み2025-11-26
2. 公開日2026-01-23
3. 更新日2026-03-03
4. EPSS 更新日2026-03-23

この脆弱性への対応策として、DPanelをバージョン1.9.2にアップデートすることを推奨します。アップデートが困難な場合は、/api/common/attach/deleteインターフェースへのアクセスを制限するWAFルールやプロキシ設定を検討してください。また、ファイル削除操作の権限を厳格に制限し、不正なアクセスを検知するためのログ監視を強化することも有効です。アップデート後、ファイル削除機能が正常に動作することを確認してください。