Dpanel 服务在默认配置下存在硬编码的 JWT 密钥，攻击者可通过分析源代码获取该密钥，进而生成有效的 JWT 令牌。利用这些伪造的令牌，攻击者能够绕过认证机制，冒充特权用户获取主机的管理员权限，最终实现远程代码执行。

将 Dpanel 服务升级到 1.6.1 或更高版本，该版本已修复此漏洞。 替换硬编码密钥：若无法立即升级版本，可手动替换硬编码的 JWT 密钥。使用安全的随机数生成工具生成新的密钥，并将其存储在安全的配置文件中，避免将密钥直接硬编码在源代码中。