Vulnerabilidad en nginx-defender (CVE-2025-55740)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

19/08/2025

Última modificación:

20/08/2025

Descripción

nginx-defender es un firewall de aplicaciones web (WAF) de alto rendimiento y nivel empresarial, y un sistema de detección de amenazas diseñado para infraestructuras web modernas. Esta vulnerabilidad de configuración afecta las implementaciones de nginx-defender. Los archivos de configuración de ejemplo config.yaml y docker-compose.yml contienen credenciales predeterminadas (default_password: "change_me_please", GF_SECURITY_ADMIN_PASSWORD=admin123). Si los usuarios implementan nginx-defender sin cambiar estas credenciales predeterminadas, los atacantes con acceso a la red podrían obtener control administrativo, evadiendo las protecciones de seguridad. El problema se soluciona en la versión 1.5.0 y posteriores.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.50

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://github.com/Anipaleja/nginx-defender/security/advisories/GHSA-pr72-8fxw-xx22