CVE-2025-49132

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-49132
Pterodactyl is a free, open-source game server management panel. Prior to version 1.11.11, using the /locales/locale.json with the locale and namespace query parameters, a malicious actor is able to execute arbitrary code without being authenticated. With the ability to execute arbitrary code it could be used to gain access to the Panel's server, read credentials from the Panel's config, extract sensitive information from the database, access files of servers managed by the panel, etc. This issue has been patched in version 1.11.11. There are no software workarounds for this vulnerability, but use of an external Web Application Firewall (WAF) could help mitigate this attack.

10.0 /10

CVSS v3 : CRITICAL

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 6.0

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope CHANGED

References
Link Resource
https://github.com/pterodactyl/panel/commit/24c82b0e335fb5d7a844226b08abf9f176e592f0
https://github.com/pterodactyl/panel/releases/tag/v1.11.11
https://github.com/pterodactyl/panel/security/advisories/GHSA-24wv-6c99-f843
Configurations

No configuration.

History

23 Jun 2025, 20:16

Type Values Removed Values Added
Summary
  • (es) Pterodactyl es un panel de administración de servidores de juegos gratuito y de código abierto. Antes de la versión 1.11.11, al usar el archivo /locales/locale.json con los parámetros de consulta de configuración regional y espacio de nombres, un actor malicioso podía ejecutar código arbitrario sin estar autenticado. Esta capacidad de ejecutar código arbitrario podía utilizarse para acceder al servidor del panel, leer credenciales de su configuración, extraer información confidencial de la base de datos, acceder a los archivos de los servidores administrados por el panel, etc. Este problema se ha corregido en la versión 1.11.11. No existen soluciones alternativas de software para esta vulnerabilidad, pero el uso de un firewall de aplicaciones web (WAF) externo podría ayudar a mitigar este ataque.

20 Jun 2025, 17:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-06-20 17:15

Updated : 2025-06-23 20:16

NVD link : CVE-2025-49132

Mitre link : CVE-2025-49132

CVE.ORG link : CVE-2025-49132

JSON object : View

Products Affected

No product.

CWE
CWE-94

Improper Control of Generation of Code ('Code Injection')