漏洞描述
在Pterodactyl Panel 中,允许未经身份验证的攻击者执行任意代码。攻击者可以通过访问 /locales/locale.json 接口,并利用locale 和 namespace 参数注入恶意代码。该漏洞利用的有效性较高,因为根据描述可以未经身份验证执行任意代码
Pterodactyl Panel locale.json接口存在远程命令执行(CVE-2025-49132)
PoC代码
暂无相关漏洞推荐
- 飞致云 1Panel 未授权 设计缺陷漏洞
- 飞致云 1Panel 身份验证缺陷漏洞
- dpanel /api/common/user/login 默认口令漏洞
- dpanel /api/app/compose/get-from-uri 文件读取漏洞(CVE-2025-53363)
- Control Web Panel CWP 未授权 命令注入漏洞
- Pterodactyl Panel /locales/locale.json 信息泄露漏洞(CVE-2025-49132)
- 飞致云 1Panel 需授权 命令注入漏洞
- DPanel 硬编码漏洞(CVE-2025-30206)
- 泛微 E-weaver /api/ec/dev/locale/getLabelByModule 存在SQL注入漏洞
- POC 1Panel 远程命令执行漏洞
- POC CVE-2012-4032: WebsitePanel before v1.2.2.1 - Open Redirect
- POC CVE-2018-18323: Centos Web Panel 0.9.8.480 - Local File Inclusion
- POC CVE-2021-3002: Seo Panel 4.8.0 - Cross-Site Scripting