CISA Peringatkan Bug Kritis di CentOS Web Panel yang Sedang Dieksploitasi
Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) mengeluarkan peringatan serius terkait adanya kerentanan kritis pada CentOS Web Panel (CWP) yang saat ini sedang aktif dieksploitasi oleh pelaku ancaman siber.
CISA menambahkan celah keamanan ini ke dalam katalog Known Exploited Vulnerabilities (KEV) dan memberikan tenggat waktu hingga 25 November 2025 bagi seluruh instansi federal yang tunduk pada pedoman BOD 22-01 untuk segera menerapkan pembaruan keamanan atau menghentikan penggunaan produk terkait.
Celah RCE Tanpa Autentikasi
Kerentanan tersebut terdaftar dengan kode CVE-2025-48703, memungkinkan penyerang jarak jauh tanpa autentikasi mengeksekusi perintah shell arbitrer (remote command execution/RCE) dengan hanya mengetahui nama pengguna valid pada server target.
CWP merupakan panel kontrol web hosting gratis untuk pengelolaan server Linux, dikenal sebagai alternatif sumber terbuka dari panel komersial seperti cPanel dan Plesk. Karena popularitasnya di kalangan penyedia hosting, administrator sistem, serta operator VPS dan server dedicated, potensi dampak dari eksploitasi bug ini tergolong tinggi.
Akar Masalah dan Mekanisme Serangan
Kerentanan ditemukan pada semua versi CWP sebelum 0.9.8.1204, pertama kali didemonstrasikan oleh peneliti keamanan Maxime Rinaudo dari Fenrisk pada Juni 2025.
Dalam laporan teknisnya, Rinaudo menjelaskan bahwa sumber masalah terletak pada endpoint file-manager “changePerm”, yang memproses permintaan bahkan tanpa identifikasi pengguna. Kondisi ini memungkinkan permintaan tidak terautentikasi mencapai kode internal yang mengharapkan pengguna telah masuk.
Selain itu, parameter “t_total”, yang berfungsi sebagai mode izin file (file permission mode) pada perintah chmod, dimasukkan secara langsung tanpa penyaringan ke dalam perintah shell. Hal ini membuka peluang untuk injeksi shell dan eksekusi perintah berbahaya.
Eksploitasi yang dikembangkan Rinaudo mengirimkan permintaan POST berisi nilai “t_total” yang telah dimanipulasi, sehingga menghasilkan reverse shell pada server target dengan hak akses pengguna terkait.
CWP telah menerima laporan kerentanan ini pada 13 Mei 2025 dan merilis pembaruan keamanan pada 18 Juni 2025 melalui versi 0.9.8.1205.
CISA Tegaskan Pentingnya Patching Segera
Meski CISA tidak membagikan rincian mengenai pelaku, sasaran, atau sumber serangan, badan tersebut menegaskan bahwa eksploitasi aktif sedang berlangsung di lapangan. Selain CWP, CISA juga menambahkan CVE-2025-11371—kerentanan local file inclusion pada produk Gladinet CentreStack dan Triofox—ke dalam daftar KEV dengan tenggat waktu patching yang sama.
Kerentanan pada produk Gladinet tersebut sebelumnya diidentifikasi sebagai zero-day aktif oleh Huntress pada 10 Oktober 2025 dan telah diperbaiki empat hari kemudian dalam versi 16.10.10408.56683.
Walau pedoman KEV difokuskan pada instansi federal AS, CISA mendorong seluruh organisasi, termasuk penyedia layanan hosting global, untuk segera meninjau daftar tersebut dan memprioritaskan mitigasi terhadap setiap kerentanan yang tercantum.
