PT-2024-1362 · Nginx-Ui · Nginx-Ui
Elleuch-X1
·
Publicado
2024-01-22
·
Atualizado
2024-06-28
·
CVE-2024-23828
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Nginx-UI anteriores à v2.0.0-beta.12
Descrição
O problema está relacionado ao arquivo de configuração app.ini do servidor Nginx UI, no qual elementos especiais não são neutralizados adequadamente durante o processamento dos parâmetros
test config cmd e start cmd. Isso pode ser explorado por um invasor remoto para executar código arbitrário. A vulnerabilidade permite a execução remota de código autenticado no host.Recomendações
Para versões anteriores à v2.0.0-beta.12, atualize para a versão v2.0.0-beta.12 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo de configuração
app.ini para impedir a injeção de valores maliciosos nos parâmetros test config cmd e start cmd. Evite usar os parâmetros test config cmd e start cmd nos pontos de extremidade da API afetados até que o problema seja resolvido.Exploit
Correção
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Nginx-Ui