CVE-2025-49132

Pterodactyl is a free, open-source game server management panel. Prior to version 1.11.11, using the /locales/locale.json with the locale and namespace query parameters, a malicious actor is able to execute arbitrary code without being authenticated. With the ability to execute arbitrary code it could be used to gain access to the Panel's server, read credentials from the Panel's config, extract sensitive information from the database, access files of servers managed by the panel, etc. This issue has been patched in version 1.11.11. There are no software workarounds for this vulnerability, but use of an external Web Application Firewall (WAF) could help mitigate this attack.
Configurations

No configuration.

History

23 Jun 2025, 20:16

Type Values Removed Values Added
Summary
  • (es) Pterodactyl es un panel de administración de servidores de juegos gratuito y de código abierto. Antes de la versión 1.11.11, al usar el archivo /locales/locale.json con los parámetros de consulta de configuración regional y espacio de nombres, un actor malicioso podía ejecutar código arbitrario sin estar autenticado. Esta capacidad de ejecutar código arbitrario podía utilizarse para acceder al servidor del panel, leer credenciales de su configuración, extraer información confidencial de la base de datos, acceder a los archivos de los servidores administrados por el panel, etc. Este problema se ha corregido en la versión 1.11.11. No existen soluciones alternativas de software para esta vulnerabilidad, pero el uso de un firewall de aplicaciones web (WAF) externo podría ayudar a mitigar este ataque.

20 Jun 2025, 17:15

Type Values Removed Values Added
New CVE

Information

Published : 2025-06-20 17:15

Updated : 2025-06-23 20:16


NVD link : CVE-2025-49132

Mitre link : CVE-2025-49132

CVE.ORG link : CVE-2025-49132


JSON object : View

Products Affected

No product.

CWE
CWE-94

Improper Control of Generation of Code ('Code Injection')