Pterodactyl未认证任意代码执行漏洞(CVE-2025-49132)

免责声明

本文档所述漏洞详情及复现方法仅限用于合法授权的安全研究和学术教育用途。任何个人或组织不得利用本文内容从事未经许可的渗透测试、网络攻击或其他违法行为。使用者应确保其行为符合相关法律法规，并取得目标系统的明确授权。
对于因不当使用本文信息而造成的任何直接或间接后果，作者概不负责。若您发现本文内容涉及侵权或不当信息，请及时联系我们，我们将立即核实并采取必要措施。

一：产品介绍

Pterodactyl 是一款开源的游戏服务器管理面板，采用现代化设计，支持 Docker 容器化部署，提供直观的 Web 界面用于管理游戏服务器（如 Minecraft、Rust 等）。其特点包括轻量级、可扩展的架构、多节点集群支持、实时资源监控，以及基于权限的角色管理系统，适合个人或企业高效托管多类游戏服务，同时支持 API 集成和自定义扩展，社区活跃且文档完善。

二：漏洞描述

Pterodactyl是一款免费开源的游戏服务器管理面板。在1.11.11版本之前，攻击者可以利用`/locales/locale.j