一、漏洞详情

CentOS Web Panel(CWP)是一个开源的Linux控制面板软件，用于部署虚拟主机环境。

近期研究人员披露了CWP7(CWP for CentOS 7)中的一个远程命令执行漏洞（CVE-2022-44877），该漏洞的PoC/EXP已公开。Centos Web Panel 7 版本0.9.8.1147之前在/login/index.php组件中存在漏洞，可能导致在未经身份验证的情况下通过精心设计的HTTP请求执行任意系统命令或代码。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

Centos Web Panel 7 版本< 0.9.8.1147

三、修复建议

目前红帽公司已宣布2021年底起停止维护CentOS 8，2024年6月30日起停止维护CentOS 7，后续将无法继续获得官方CentOS操作系统的升级和补丁支持，为避免由此产生的网络安全风险，建议用户尽早将已安装使用的CentOS操作系统替换为国产Linux操作系统如龙蜥Anolis、openEuler等服务器操作系统。