BDU:2023-06961

Опубликовано: 11 окт. 2023

Источник: fstec

CVSS3: 9.1

CVSS2: 9.4

EPSS Низкий

Описание

Уязвимость модуля Nginx NAXSI связана с нарушением механизма защиты данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

NAXSI

Версия ПО

от 1.3 до 1.6 (NAXSI)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/wargio/naxsi/commit/1b712526ed3314dd6be7e8b0259eabda63c19537

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-45132
CVE

EPSS

Процентиль: 19%

0.00062

Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

CVE-2023-45132

CVSS3: 9.1

nvd

больше 2 лет назад

NAXSI is an open-source maintenance web application firewall (WAF) for NGINX. An issue present starting in version 1.3 and prior to version 1.6 allows someone to bypass the WAF when a malicious `X-Forwarded-For` IP matches `IgnoreIP` `IgnoreCIDR` rules. This old code was arranged to allow older NGINX versions to also support `IgnoreIP` `IgnoreCIDR` when multiple reverse proxies were present. The issue is patched in version 1.6. As a workaround, do not set any `IgnoreIP` `IgnoreCIDR` for older versions.

EPSS

Процентиль: 19%

0.00062

Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2