CVE-2026-40519

Nome do Software Vulnerável e Versões Afetadas Nginx Proxy Manager versões 2.9.14 a 2.15.1

Descrição Um problema de execução remota de código autenticada existe via injeção de comando de SO na função setupCertbotPlugins() localizada em backend/setup.js. Atacantes com a permissão certificates:manage podem executar comandos arbitrários ao armazenar um payload malicioso no campo dns provider credentials. Isso ocorre porque o valor de dns provider credentials é interpolado diretamente em um comando de shell executado via child process.exec() sem a devida sanitização ou escape, resultando na execução do comando após a reinicialização do backend.

Recomendações Atualize para a versão que contém o commit a5db5ed. Como mitigação temporária, restrinja a permissão certificates:manage apenas a administradores confiáveis.