PT-2024-6493 · Unknown · Nginx Proxy Manager
Jc21
·
Publicado
2024-07-01
·
Atualizado
2025-10-30
·
CVE-2024-46256
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
NginxProxyManager versão 2.11.3
Descrição
Existe uma vulnerabilidade de injeção de comando na função
requestLetsEncryptSsl do NginxProxyManager. Isso permite que um invasor remoto execute comandos arbitrários ao adicionar um certificado Let's Encrypt especialmente criado. A vulnerabilidade está relacionada à sanitização insuficiente de dados no nível de gerenciamento. A exploração pode levar à execução remota de código (RCE).Recomendações
NginxProxyManager versão 2.11.3: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
RCE
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nginx Proxy Manager