Roxy-WI — это веб-интерфейс для управления серверами Haproxy, Nginx, Apache и Keepalived. До версии 8.2.6.3 в конечной точке `/config/compare/<service>/<server_ip>/show` существовала уязвимость внедрения команд, которая позволяла прошедшим проверку подлинности пользователям выполнять произвольные системные команды на хосте приложения. Уязвимость существует в `app/modules/config/config.py` в строке 362, где пользовательский ввод напрямую форматируется в строке шаблона, которая в конечном итоге выполняется.
Версия 8.2.6.3 устраняет проблему.
Показать оригинальное описание (EN)
Roxy-WI is a web interface for managing Haproxy, Nginx, Apache and Keepalived servers. Prior to version 8.2.6.3, a command injection vulnerability exists in the `/config/compare/<service>/<server_ip>/show` endpoint, allowed authenticated users to execute arbitrary system commands on the app host. The vulnerability exists in `app/modules/config/config.py` on line 362, where user input is directly formatted in the template string that is eventually executed. Version 8.2.6.3 fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1