Nginx UI — это веб-интерфейс пользователя для веб-сервера Nginx. До версии 2.3.4 конфигурация nginx-ui неправильно обрабатывала последовательности обхода, закодированные в URL-адресе. Когда предоставляются специально созданные пути, серверная часть преобразует их в базовый каталог конфигурации Nginx и выполняет операцию в базовом каталоге (/etc/nginx).
В частности, это позволяет аутентифицированному пользователю удалить весь каталог /etc/nginx, что приводит к частичному отказу в обслуживании. Эта проблема исправлена в версии 2.3.4.
Показать оригинальное описание (EN)
Nginx UI is a web user interface for the Nginx web server. Prior to version 2.3.4, the nginx-ui configuration improperly handles URL-encoded traversal sequences. When specially crafted paths are supplied, the backend resolves them to the base Nginx configuration directory and executes the operation on the base directory (/etc/nginx). In particular, this allows an authenticated user to remove the entire /etc/nginx directory, resulting in a partial Denial of Service. This issue has been patched in version 2.3.4.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Nginxui Nginx_Ui
cpe:2.3:a:nginxui:nginx_ui:*:*:*:*:*:*:*:*
|
— |
2.3.4
|