Vulnerabilidad en dpanel (CVE-2025-53363)

Gravedad CVSS v4.0:

MEDIA

Tipo:

CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)

Fecha de publicación:

22/08/2025

Última modificación:

22/08/2025

Descripción

dpanel es un panel de administración de servidores de código abierto escrito en Go. En las versiones 1.2.0 a 1.7.2, dpanel permite a los usuarios autenticados leer archivos arbitrarios del servidor a través del endpoint de la API /api/app/compose/get-from-uri. La vulnerabilidad existe en la función GetFromUri de app/application/http/controller/compose.go, donde el parámetro uri se pasa directamente a os.ReadFile sin la validación ni el control de acceso adecuados. Un atacante con sesión iniciada puede explotar esta vulnerabilidad para leer archivos confidenciales del sistema host, lo que puede provocar la divulgación de información. No hay ninguna versión parcheada disponible al momento de escribir este artículo.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:N/SC:H/SI:N/SA:N/E:P CVSS v4.0 Severidad y Métricas:

Puntuación base: 6.10 MEDIA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:N/SC:H/SI:N/SA:N/E:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Ninguno
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Alto
Integrity (SI): Ninguno
Availability (SA): Ninguno
Exploit Maturity (E): POC

Puntuación base 4.0

6.10

Gravedad 4.0

MEDIA

Referencias a soluciones, herramientas e información

https://github.com/donknap/dpanel/security/advisories/GHSA-gcqf-pxgg-gw8q