CVE-2024-39935

Nome do software vulnerável e versões afetadas:

Versões do NGINX Proxy Manager anteriores à 2.11.3

Descrição:

A falha permite que um usuário autenticado com privilégios de gerenciamento de certificados injete comandos do sistema operacional por meio de entradas não confiáveis na configuração do provedor de DNS, possibilitando que invasores remotos executem comandos arbitrários ao modificar a configuração do provedor de DNS. A vulnerabilidade existe devido à falta de medidas para neutralizar elementos especiais utilizados no comando do sistema operacional.

Recomendações:

Para versões do NGINX Proxy Manager anteriores à 2.11.3, atualize para a versão 2.11.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao script backend/internal/certificate.js e limitar a capacidade de modificar a configuração do provedor de DNS para minimizar o risco de exploração. Evite usar entradas não confiáveis na configuração do provedor de DNS até que o problema seja resolvido.