Nginx UI — это веб-интерфейс пользователя для веб-сервера Nginx. До версии 2.3.4 приложение nginx-ui уязвимо к состоянию гонки. Из-за полного отсутствия механизмов синхронизации (Mutex) и неатомарной записи файлов одновременные запросы приводят к серьезному повреждению основного файла конфигурации (app.ini).
Эта уязвимость приводит к постоянному отказу в обслуживании (DoS) и открывает недетерминированный путь для удаленного выполнения кода (RCE) через перекрестное загрязнение конфигурации. Эта проблема исправлена в версии 2.3.4.
Показать оригинальное описание (EN)
Nginx UI is a web user interface for the Nginx web server. Prior to version 2.3.4, the nginx-ui application is vulnerable to a Race Condition. Due to the complete absence of synchronization mechanisms (Mutex) and non-atomic file writes, concurrent requests lead to the severe corruption of the primary configuration file (app.ini). This vulnerability results in a persistent Denial of Service (DoS) and introduces a non-deterministic path for Remote Code Execution (RCE) through configuration cross-contamination. This issue has been patched in version 2.3.4.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Nginxui Nginx_Ui
cpe:2.3:a:nginxui:nginx_ui:*:*:*:*:*:*:*:*
|
— |
2.3.4
|
|
Uozi Cosy
cpe:2.3:a:uozi:cosy:*:*:*:*:*:go:*:*
|
— |
1.30.1
|