nginxWebUI runCmd远程命令执行漏洞
日期:2023-06-29 10:37:51 发布人:信息化建设中心 浏览量:689
漏洞概要
|
漏洞名称 |
nginxWebUI runCmd远程命令执行漏洞 |
|
发布时间 |
2023年6月29日 |
|
组件名称 |
nginxWebUI |
|
影响范围 |
nginxWebUI ≤ 3.5.0 |
|
漏洞类型 |
远程代码执行 |
|
利用条件 |
1、用户认证:否 2、前置条件:默认配置 3、触发方式:远程 |
|
综合评价 |
<综合评定利用难度>:容易,无需授权即可远程代码执行。 <综合评定威胁等级>:高危,能造成远程代码执行。 |
|
官方解决方案 |
已发布 |
漏洞分析
组件介绍
nginxWebUI是一款图形化管理nginx配置的工具,能通过网页快速配置nginx的各种功能,包括HTTP和TCP协议转发、反向代理、负载均衡、静态HTML服务器以及SSL证书的自动申请、续签和配置,配置完成后可以一键生成nginx.conf文件,并控制nginx使用此文件进行启动和重载。
漏洞描述
2023年6月29日,深信服安全团队监测到一则nginxWebUI组件存在命令注入漏洞的信息,漏洞威胁等级:高危。
该漏洞是由于未对用户的输入进行过滤,导致用户可在后台执行任意命令,且权限校验存在问题。攻击者可在未授权的情况下,构造恶意数据,执行远程命令注入攻击,最终在服务器上执行任意代码。
影响范围
目前受影响的nginxWebUI版本:
nginxWebUI ≤ 3.5.0
解决方案
修复建议
官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。