HIGHCVE-2025-66292CVSS 8.1

DPanel 在 github.com/donknap/dpanel 的 /api/common/attach/delete 接口存在任意文件删除漏洞

Q: 什么是 CVE-2025-66292 — 任意文件删除漏洞在 DPanel 中?

CVE-2025-66292 是 DPanel 中 /api/common/attach/delete 接口的一个任意文件删除漏洞，允许攻击者删除服务器上的任意文件，造成数据丢失和系统不稳定。

Q: 我是否受到 CVE-2025-66292 在 DPanel 中影响?

如果您正在使用 DPanel 1.9.2 之前的版本，则可能受到此漏洞的影响。请立即检查您的 DPanel 版本并升级。

Q: 我如何修复 CVE-2025-66292 在 DPanel 中?

升级 DPanel 到 1.9.2 或更高版本是修复此漏洞的最佳方法。如果升级不可行，请考虑回滚到之前的稳定版本并配置 WAF 规则。

Q: CVE-2025-66292 是否正在被积极利用?

目前尚未公开发现针对此漏洞的公开利用代码，但已添加到 CISA KEV 目录，表明其具有中等概率被利用。

Q: 在哪里可以找到官方 DPanel 关于 CVE-2025-66292 的公告?

请访问 DPanel 官方网站或 GitHub 仓库，查找关于 CVE-2025-66292 的安全公告。

平台

组件

github.com/donknap/dpanel

修复版本

1.9.3

1.9.2

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-66292 是 DPanel 中的一个任意文件删除漏洞，存在于 /api/common/attach/delete 接口中。该漏洞允许未经授权的攻击者删除 DPanel 服务器上的任意文件，可能导致严重的数据丢失和系统不稳定。该漏洞影响 DPanel 版本低于 1.9.2 的用户，建议尽快升级以消除风险。目前已发布修复补丁。

影响与攻击场景

攻击者利用此漏洞可以删除 DPanel 服务器上的任何文件，包括配置文件、数据库文件，甚至系统关键文件。这可能导致服务中断、数据泄露，甚至完全破坏服务器。由于 DPanel 通常用于托管网站和应用程序，攻击者可能能够删除网站文件，导致网站不可用，或窃取敏感数据。如果攻击者能够删除数据库文件，则可能导致数据库损坏，从而导致数据丢失和业务中断。该漏洞的潜在影响范围取决于 DPanel 服务器上存储的数据类型和数量。

利用背景

目前尚未公开发现针对此漏洞的公开利用代码（PoC）。该漏洞已添加到 CISA KEV 目录，表明其具有中等概率被利用。建议密切关注安全社区的动态，并及时采取缓解措施。NVD 发布日期为 2026-01-23。

哪些人处于风险中翻译中…

Organizations running DPanel, particularly those hosting websites or applications with sensitive data, are at risk. Shared hosting environments utilizing DPanel are especially vulnerable, as a compromise of one user's account could potentially impact other users on the same server. Legacy DPanel installations with outdated configurations are also at increased risk.

检测步骤翻译中…

• go / server: Inspect DPanel logs for suspicious requests to /api/common/attach/delete with unusual parameters. Monitor file system integrity for unexpected deletions.

journalctl -u dpanel | grep '/api/common/attach/delete'

• generic web: Monitor access logs for requests to /api/common/attach/delete originating from unusual IP addresses or user agents.

grep '/api/common/attach/delete' /var/log/apache2/access.log

攻击时间线

2026-01-23Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.05% (16% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

CVSS 向量

受影响的软件

组件github.com/donknap/dpanel

供应商osv

影响范围修复版本

< 1.9.2 – < 1.9.21.9.3

—1.9.2

弱点分类 (CWE)

CWE-22 CWE-73

时间线

已保留2025-11-26
发布日期2026-01-23
修改日期2026-03-03
EPSS 更新日期2026-03-23

缓解措施和替代方案

最有效的缓解措施是立即将 DPanel 升级到 1.9.2 或更高版本。如果升级会导致服务中断，可以考虑回滚到之前的稳定版本，并尽快安排升级。在升级之前，务必备份 DPanel 服务器上的所有重要数据。此外，可以考虑使用 Web 应用防火墙 (WAF) 来阻止对 /api/common/attach/delete 接口的恶意请求。配置 WAF 规则以阻止任何尝试删除文件的请求。监控 DPanel 服务器上的日志文件，以检测任何可疑活动。

修复方法翻译中…

Actualice DPanel a la versión 1.9.2 o superior. Esta versión corrige la vulnerabilidad de eliminación arbitraria de archivos. La actualización se puede realizar descargando la nueva versión desde el repositorio oficial y reemplazando los archivos existentes.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2025-66292 — 任意文件删除漏洞在 DPanel 中?

CVE-2025-66292 是 DPanel 中 /api/common/attach/delete 接口的一个任意文件删除漏洞，允许攻击者删除服务器上的任意文件，造成数据丢失和系统不稳定。

我是否受到 CVE-2025-66292 在 DPanel 中影响?