欢迎user
新华三盾山实验室
2023/06/28
Nginx WebUI是一种基于Web的管理界面,用于管理和监控Nginx Web服务器。提供一个简单易用的WEB页面,方便用户配置和监控Nginx服务器。用户可以查看Nginx的系统状态、活跃连接和请求情况等信息,也可以在线配置Nginx服务器的各种参数和规则,如添加或删除虚拟主机,重载配置等。近日,新华三盾山实验室监测到nginxWebUI runCmd远程命令执行漏洞相关信息,且漏洞细节已公开,攻击者利用该漏洞可在目标系统上执行任意代码。
由于未对用户输入的数据进行过滤,恶意攻击者可通过构造特殊请求包在后台执行任意代码。并且该系统权限校验也存在问题,导致存在权限绕过,恶意攻击者也可在前台直接调用后台接口,从而可以直接无条件远程执行任意代码。
nginxWebUI <= 3.5.0
威胁等级 | 高危 |
影响程度 | 广泛 |
利用价值 | 高 |
利用难度 | 低 |
漏洞评分 | / |
目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接:https://www.nginxwebui.cn/