Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Nginx UI (CVE-2024-49366)

Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
21/10/2024
Última modificación:
07/11/2024

Descripción

Nginx UI es una interfaz de usuario web para el servidor web Nginx. Nginx UI v2.0.0-beta.35 y anteriores obtienen el valor del campo json sin verificación y pueden construir un valor en forma de `../../`. Se pueden escribir archivos arbitrarios en el servidor, lo que puede provocar la pérdida de permisos. La versión 2.0.0-beta.26 corrige el problema.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:nginxui:nginx_ui:*:*:*:*:*:*:*:* 1.9.9-4 (incluyendo)
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta1:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta10:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta10_patch:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta11:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta12:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta13:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta13-patch:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta14:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta15:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta16:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta17:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta18:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta18-patch1:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta18-patch2:*:*:*:*:*:*