Vulnerabilidad en Nginx UI (CVE-2024-49366)
Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
21/10/2024
Última modificación:
07/11/2024
Descripción
Nginx UI es una interfaz de usuario web para el servidor web Nginx. Nginx UI v2.0.0-beta.35 y anteriores obtienen el valor del campo json sin verificación y pueden construir un valor en forma de `../../`. Se pueden escribir archivos arbitrarios en el servidor, lo que puede provocar la pérdida de permisos. La versión 2.0.0-beta.26 corrige el problema.
Impacto
Puntuación base 4.0
7.70
Gravedad 4.0
ALTA
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:nginxui:nginx_ui:*:*:*:*:*:*:*:* | 1.9.9-4 (incluyendo) | |
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta1:*:*:*:*:*:* | ||
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta10:*:*:*:*:*:* | ||
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta10_patch:*:*:*:*:*:* | ||
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta11:*:*:*:*:*:* | ||
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta12:*:*:*:*:*:* | ||
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta13:*:*:*:*:*:* | ||
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta13-patch:*:*:*:*:*:* | ||
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta14:*:*:*:*:*:* | ||
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta15:*:*:*:*:*:* | ||
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta16:*:*:*:*:*:* | ||
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta17:*:*:*:*:*:* | ||
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta18:*:*:*:*:*:* | ||
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta18-patch1:*:*:*:*:*:* | ||
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta18-patch2:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página