Специалисты нашли серьезную уязвимость в панели управления сервером Control Web Panel (CWP), которая используется для хостинга на CentOS, AlmaLinux и Rocky Linux. Уязвимость с идентификатором CVE-2025-70951 позволяет злоумышленникам запускать команды на сервере, зная лишь имя пользователя. Проблема возникла из-за неполного исправления предыдущей уязвимости (CVE-2025-48703), что позволило оставить открытым доступ к удаленному выполнению команд. обходить лимиты на премиум-модели устранена в обновлении
Необходимость аутентификации была обойдена в модуле addons, который принимает запросы без проверки подлинности, если указанное имя пользователя существует. Это означает, что злоумышленник может отправить специальный запрос с вредоносной командой. Уязвимость была подтверждена в версиях 0.9.8.1218, 0.9.8.1219 и 0.9.8.1222, и была устранена в обновлении 0.9.8.1224, выпущенном в марте 2026 года. обхода аутентификации