CloudPanel 是一款頗為知名的 Linux 管理麵板，方便用戶管理諸如 Nginx、PHP、MySQL、Apache 等軟件的安裝和部署，同時也可以創建多個網站並隔離等。

目前安全公司披露了 CloudPanel 存在的多個漏洞，說是漏洞可能不太準確，這些問題更像是缺陷，雖然是缺陷但潛在危害並不比漏洞小。

網絡安全公司 Rapid7 的研究人員 Tod 在 2022 年 11 月發現 CloudPanel 存在多個問題，當時研究人員已經負責任的將這些問題通報給開發商 MGT-COMMERCE。

但直到本文發布時，仍然有 3 處缺陷沒有被修複，開發商隻解決了一個與軟件安裝腳本有關的小問題。

CloudPanel 在 AWS、Azure、Google Cloud 等公有雲平台的市場裏很受歡迎，在麵板類裏排名第一，考慮到用戶量如此多，漏洞修複還這麽慢確實不應該，使用 CloudPanel 麵板的用戶應該多多注意。

問題 1：下載內容未經驗證 (已修複)

研究人員發現 CloudPanel 通過 curl to bash 安裝過程沒有進行完整性檢查，因此如果攻擊者劫持或替換安裝包，都可能發起供應鏈攻擊。

接到通報後 CloudPanel 在線更新了腳本支持了加密安全校驗解決問題。

問題 2：附帶弱防火牆規則替代默認規則 (未修複)

正常情況下係統自帶的防火牆規則屬於中等安全級別，用戶可以根據自己的需要修改防火牆規則加強安全性。

但 CloudPanel 在安裝過程中會將服務器防火牆規則替換為更弱雞的規則，例如原本管理員配置的防火牆規則是僅允許特定 IP/IP 端訪問服務器，安裝 CloudPanel 後這些規則會刪了，實際上就是弱化了安全性。

問題 3：超級管理員賬戶竟然是空的 (未修複)

CloudPanel 安裝後超級管理員賬戶是空的，任何人都可以創建管理員賬戶。這是一個比較嚴重的問題，因為各種惡意爬蟲無時不刻不再檢索存在弱點的服務器，一旦被掃描到黑客就可以趕在用戶前創建管理員賬戶從而接管服務器。

目前 CloudPanel 更新了一份支持文檔要求用戶安裝成功後立即創建管理員賬戶，避免被機速更快的機器人率先創建了管理員。

問題 4：所有 CloudPanel 都是用相同的私鑰🫠🫠🫠

研究人員還發現 CloudPanel 使用靜態 SSL 證書安裝，這導致所有安裝的麵板私鑰都是相同的，攻擊者也可以通過 SSL 證書的指紋來找到安裝 CloudPanel 的服務器。

由於私鑰是相同的，因此攻擊者還可以發起 MiMT 中間人攻擊，劫持用戶與 CloudPanel 之間的流量，嗅探內容包括解密用戶輸入的賬號和密碼。

目前還不知道 CloudPanel 為啥這麽長時間了還沒解決問題，但如果你使用 CloudPanel 的話，最好提高警惕，包括檢查管理員賬戶設置、配置自己的 SSL 證書、檢查 ufw 防火牆規則。