Plataforma
go
Componente
github.com/donknap/dpanel
Corrigido em
1.9.3
1.9.2
A vulnerabilidade CVE-2025-66292 afeta o DPanel, um painel de controle, permitindo acesso arbitrário de arquivos. Essa falha reside na interface /api/common/attach/delete e pode levar à exclusão não autorizada de arquivos no sistema. Versões do DPanel anteriores a 1.9.2 são vulneráveis, e uma correção foi lançada na versão 1.9.2.
Um atacante explorando esta vulnerabilidade pode deletar arquivos críticos no servidor DPanel, comprometendo a integridade do sistema e potencialmente levando à perda de dados. A exclusão de arquivos de configuração, scripts ou dados do usuário pode interromper o funcionamento do painel de controle e expor informações confidenciais. A gravidade da vulnerabilidade reside na facilidade de exploração e no potencial impacto na disponibilidade e confidencialidade dos dados. A ausência de autenticação adequada na interface de deleção permite que atacantes não autenticados executem a ação de exclusão.
A vulnerabilidade foi divulgada em 2026-01-23. Não há informações disponíveis sobre exploração ativa ou presença na KEV. A ausência de um Proof of Concept (PoC) publicamente disponível sugere um risco de exploração menor, mas a facilidade de exploração inerente à vulnerabilidade exige atenção.
Organizations running DPanel, particularly those hosting websites or applications with sensitive data, are at risk. Shared hosting environments utilizing DPanel are especially vulnerable, as a compromise of one user's account could potentially impact other users on the same server. Legacy DPanel installations with outdated configurations are also at increased risk.
• go / server: Inspect DPanel logs for suspicious requests to /api/common/attach/delete with unusual parameters. Monitor file system integrity for unexpected deletions.
journalctl -u dpanel | grep '/api/common/attach/delete'• generic web: Monitor access logs for requests to /api/common/attach/delete originating from unusual IP addresses or user agents.
grep '/api/common/attach/delete' /var/log/apache2/access.logdisclosure
Status do Exploit
EPSS
0.05% (percentil 16%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-66292 é atualizar o DPanel para a versão 1.9.2 ou superior, que inclui a correção para esta vulnerabilidade. Se a atualização imediata não for possível, implemente controles de acesso rigorosos na interface /api/common/attach/delete, restringindo o acesso apenas a usuários autorizados. Considere a implementação de um Web Application Firewall (WAF) para bloquear solicitações maliciosas direcionadas a essa interface. Monitore logs de acesso para detectar tentativas de acesso não autorizado.
Actualice DPanel a la versión 1.9.2 o superior. Esta versión corrige la vulnerabilidad de eliminación arbitraria de archivos. La actualización se puede realizar descargando la nueva versión desde el repositorio oficial y reemplazando los archivos existentes.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-66292 is a vulnerability in DPanel allowing attackers to delete arbitrary files. It has a CVSS score of 8.1 (HIGH) and affects versions before 1.9.2.
You are affected if you are running DPanel version 1.9.2 or earlier. Check your DPanel version and upgrade immediately if necessary.
Upgrade DPanel to version 1.9.2 or later. As a temporary workaround, restrict access to the /api/common/attach/delete endpoint using a WAF or proxy.
There is currently no evidence of active exploitation, but the vulnerability's ease of exploitation warrants prompt patching.
Refer to the DPanel official website and GitHub repository for the latest security advisories and patch releases.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.