漏洞预警|nginxWebUI 认证绕过/RCE漏洞
2023-6-28 14:26:35 Author: 仙友道(查看原文) 阅读量:71 收藏

漏洞来源  

https://mp.weixin.qq.com/s/Qu1lOvf25TrQEiANjslNZg

漏洞概述

nginxWebUI后台提供执行nginx相关命令的接口,由于未对用户的输入进行过滤,导致可在后台执行任意命令。并且该系统权限校验存在问题,导致存在权限绕过,在前台可直接调用后台接口,最终可以达到无条件远程命令执行的效果。

影响版本  

nginxWebUI <= 3.5.0

漏洞复现     

             

修复建议    

官方已发布了新版本修复了权限绕过漏洞,并且在一定程度上缓解了远程命令执行的风险。建议用户更新至最新版本。
https://gitee.com/cym1102/nginxWebUI/releases/tag/3.6.0

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg3NjYwNDgzMQ==&mid=2247485874&idx=1&sn=a2327371d861b521d745c4e6195e06f5&chksm=cf2ef542f8597c54e699d6bbd1f13b5f123efb3e3b847c70fa7edb9b27d96f6c2fdafceb0857#rd
如有侵权请联系:admin#unsafe.sh