
Uma vulnerabilidade com a pontuação máxima de severidade está a colocar em risco os administradores de sistemas que utilizam o Control Web Panel. De acordo com o alerta de segurança emitido pelo Centre for Cybersecurity Belgium, a falha classificada como CVE-2026-57517 permite a execução remota de código sem qualquer necessidade de autenticação prévia por parte do invasor.
Mecanismo de ataque silencioso
O problema central desta vulnerabilidade reside numa injeção de SQL cega através de um parâmetro específico de utilizador. Aproveitando a falta de sanitização correta da plataforma, um atacante consegue enviar um pedido HTTP manipulado que força a base de dados a processar comandos maliciosos.
Na prática, o invasor não precisa de ver o resultado da pesquisa no ecrã. O objetivo passa por utilizar um comando interno para escrever um ficheiro diretamente no servidor. Ao implementar uma shell em PHP numa diretoria acessível publicamente, o atacante adquire os privilégios do serviço do painel, garantindo o comprometimento total da máquina.
Implicações práticas e mitigação
Para as empresas de alojamento web e profissionais de tecnologias de informação em Portugal que dependem desta plataforma para gerir os seus clientes, o risco deve ser tratado com a máxima urgência. Uma invasão bem-sucedida anula por completo a confidencialidade e a integridade da infraestrutura, permitindo a alteração de sites alojados, a interceção de dados confidenciais e a criação de pontes para infetar outros equipamentos na mesma rede empresarial.
Embora as autoridades europeias confirmem que ainda não existem provas de exploração ativa desta falha específica, a vasta exposição desta ferramenta de gestão na internet converte a situação numa corrida contra o tempo. A recomendação clara passa pela aplicação imediata das atualizações mais recentes fornecidas pelos criadores do painel, acompanhada por um reforço na monitorização de atividades suspeitas nos sistemas afetados.












Nenhum comentário
Seja o primeiro!