Vulnerabilidad en Roxy-WI (CVE-2024-43804)

Roxy-WI es una interfaz web para administrar servidores Haproxy, Nginx, Apache y Keepalived. Una vulnerabilidad de inyección de comandos del sistema operativo permite que cualquier usuario autenticado en la aplicación ejecute código arbitrario en el servidor de aplicaciones web a través de la funcionalidad de escaneo de puertos. La entrada proporcionada por el usuario se utiliza sin validación al construir y ejecutar un comando del sistema operativo. Los datos POST JSON proporcionados por el usuario se analizan y si la clave JSON "id" no existe, el valor JSON proporcionado a través de la clave JSON "ip" se asigna a la variable "ip". Más adelante, la variable "ip" que puede ser controlada por el atacante se utiliza al construir las cadenas cmd y cmd1 sin ninguna validación adicional. Luego, se llama a la función server_mod.subprocess_execute tanto en cmd1 como en cmd2. Cuando se analiza la definición de la función server_mod.subprocess_execute(), se puede ver que se llama a subprocess.Popen() en el parámetro de entrada con shell=True, lo que da como resultado una inyección de comandos del sistema operativo. Este problema aún no se ha solucionado. Se recomienda a los usuarios que se pongan en contacto con Roxy-WI para coordinar una solución.