Pterodactyl 中的安全漏洞CVE-2025-68954

Pterodactyl（常称 “翼龙面板”）是一款免费游戏服务器管理面板，以 Docker 容器化隔离为核心，适合个人、社区游戏托管商规模化运维。

一、基本情况

Pterodactyl 游戏服务器管理面板采用了bcrypt 密码哈希、AES-256-CBC 加密、HTTPS、CSRF 防护、自动更新、环境变量加密等机制。

Pterodactyl 凭借容器化、高扩展性与丰富功能成为游戏服务器管理主流选择，用 PHP、React、Go 构建，支持多游戏 / 多节点统一管理。

栋科技漏洞库关注到 Pterodactyl 受影响版本中存在的安全漏洞，该漏洞现在已经被追踪为CVE-2025-68954，漏洞的CVSS 4.0评分为7.5。

二、漏洞分析

CVE-2025-68954漏洞是 Pterodactyl 受影响版本中的安全漏洞，当服务器被删除或权限减少时，Pterodactyl 不会被撤销 SFTP 访问权限。

具体来说， Pterodactyl 版本1.11.11及以下版本在用户从服务器实例中移除或SFTP文件访问权限发生变化时，不会撤销活跃的SFTP连接。

这允许已经连接到SFTP的用户即使在其权限被撤销后仍然保持连接并访问文件。

要利用此漏洞，用户必须在权限被撤销时连接到SFTP。

当用户使用Wings SFTP服务器实例打开与服务器的连接时，会通过向面板发出的身份验证API调用检查并返回权限。

但是在初始握手后，不会再次检查凭据。因此，如果用户在面板中从服务器中移除或其权限被修改，则这些权限在SFTP连接中不会更新。

因此已通过SFTP子系统获得服务器文件访问权限的用户，在断开连接（通过Wings重启或用户端手动断开连接）前将一直保持这些权限。

此问题特别影响服务器文件的SFTP子系统。

Wings私有数据或服务器本地文件系统以外的任何数据均未暴露。

此外，用户必须在权限被撤销时已连接到SFTP，才能利用此问题。如果用户未连接，则一旦权限被降低，他们将无法连接。

三、影响范围

pterodactyl/panel <= 1.11.11

四、修复建议

pterodactyl/panel >= 1.12.0

五、参考链接

管理员已设置登录后刷新可查看