1Panel是一款开源的Linux服务器运维管理面板，支持通过可视化界面管理网站、数据库、Docker容器、SSL证书、防火墙等功能。它采用前后端分离架构，支持多节点管理，具备简洁易用、安全性高、自动化程度高等特点，适用于中小型企业或开发者进行服务器集成运维管理。

　　近日，监测发现1Panel Agent存在证书验证绕过导致的远程命令执行（RCE）漏洞，该漏洞影响1Panel v2版本引入的Core-Agent架构，双方通过HTTPS进行通信时使用tls.RequireAnyClientCert进行证书校验，仅检查证书的CN字段为panel_client，未对证书签发机构进行验证。攻击者可通过伪造合法格式的客户端证书绕过身份认证，进而访问多个高权限WebSocket接口，实现敏感信息获取与远程命令执行。

　　建议广大用户做好资产自查以及预防工作，以免遭受黑客攻击。

　　2、 影响范围

　　受影响版本

　　⚫

　　1Panel <= v2.0.5

　　3、 处置建议

　　目前这些漏洞已经修复，受影响用户可安装最新版本补丁。

　　2

　　下载地址：

　　https://github.com/1Panel-dev/1Panel/releases

　　4、 参考链接

　　1)

　　https://nvd.nist.gov/vuln/detail/CVE-2025-54424

　　2)

　　https://github.com/1Panel-dev/1Panel/security/advisories/GHSA-8j63-96wh-wh3j