BDU:2024-00816

Опубликовано: 22 янв. 2024

Источник: fstec

CVSS3: 8.8

CVSS2: 9

EPSS Низкий

Описание

Уязвимость конфигурационного файла app.ini пользовательского интерфейса Nginx UI сервера nginx связана с непринятием мер по нейтрализации специальных элементов при обработке параметров test_config_cmd и start_cmd. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

Nginx UI

Версия ПО

до 2.0.0.beta.11 включительно (Nginx UI)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/0xJacky/nginx-ui/releases/tag/v2.0.0-beta.12

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-23828
CVE

EPSS

Процентиль: 80%

0.01379

Низкий

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

CVE-2024-23828

CVSS3: 8.8

nvd

около 2 лет назад

Nginx-UI is a web interface to manage Nginx configurations. It is vulnerable to an authenticated arbitrary command execution via CRLF attack when changing the value of test_config_cmd or start_cmd. This vulnerability exists due to an incomplete fix for CVE-2024-22197 and CVE-2024-22198. This vulnerability has been patched in version 2.0.0.beta.12.

GHSA-qcjq-7f7v-pvc8

CVSS3: 8.8

github

около 2 лет назад

Nginx-UI vulnerable to authenticated RCE through injecting into the application config via CRLF

EPSS

Процентиль: 80%

0.01379

Низкий

8.8 High

CVSS3

9 Critical

CVSS2