Описание
Уязвимость веб-интерфейса управления серверами Roxy-WI связана с возможностью обхода пути. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к защищаемой информации
Вендор
Сообщество свободного программного обеспечения
Наименование ПО
Roxy-wi
Версия ПО
до 6.3.6.0 (Roxy-wi)
Тип ПО
Сетевое средство
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений;
- ограничение доступа к устройству из внешних сетей (Интернет);
- использование изолированной программной среды.
Использование рекомендаций:
https://github.com/hap-wi/roxy-wi/security/advisories/GHSA-qcmp-q5h3-784m
https://github.com/hap-wi/roxy-wi/commit/0054f25da7cf8c7480452f48e39308b5e392dc67
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 69%
0.00615
Низкий
7.5 High
CVSS3
7.8 High
CVSS2
Связанные уязвимости
CVSS3: 7.5
nvd
почти 3 года назад
Roxy-WI is a Web interface for managing Haproxy, Nginx, Apache, and Keepalived servers. Versions prior to 6.3.6.0 don't correctly neutralize `dir/../filename` sequences, such as `/etc/nginx/../passwd`, allowing an actor to gain information about a server. Version 6.3.6.0 has a patch for this issue.
EPSS
Процентиль: 69%
0.00615
Низкий
7.5 High
CVSS3
7.8 High
CVSS2