Katalog CVE

CVE-2026-45556

KrytyczneCVSS 9.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.07%

Percentyl 23 — wyżej niż 23% wszystkich znanych CVE

Streszczenie

Roxy-WI to interfejs webowy do zarządzania serwerami Haproxy, Nginx, Apache i Keepalived. W wersjach 8.2.6.4 i wcześniejszych, pole config_file_name w żądaniu POST /waf/<service>/<server_ip>/rule/<rule_id>/save nie jest odpowiednio walidowane, co pozwala atakującemu na zapisanie pliku w dowolnej lokalizacji na systemie plików load balancera.

Ocena ryzyka

Atakujący może wprowadzić złośliwy kod do crontaba, co skutkuje zdalnym wykonaniem kodu (RCE) z uprawnieniami roota na każdym load balancerze zarządzanym przez grupę atakującego. To stwarza poważne zagrożenie dla bezpieczeństwa infrastruktury.

Rekomendacja

Zaleca się aktualizację Roxy-WI do najnowszej wersji, która zawiera poprawki bezpieczeństwa. Należy również wdrożyć dodatkowe mechanizmy walidacji i ograniczenia dostępu do krytycznych ścieżek systemowych.

Oryginalny opis (angielski, źródło NVD)

Roxy-WI is a web interface for managing Haproxy, Nginx, Apache and Keepalived servers. In versions 8.2.6.4 and prior, POST /waf/<service>/<server_ip>/rule/<rule_id>/save accepts a config_file_name form field that is passed straight through to config_mod.master_slave_upload_and_restart(...) as the destination path. The validation chain (_replace_config_path_to_correct → check_is_conf) only requires the path to contain a hard-coded service substring (nginx/haproxy/apache2/httpd/keepalived) and the substring conf or cfg, and to not contain ... The encoded-slash substitution 92 → / is applied before the substring check, so the attacker can build any absolute path anywhere on the LB filesystem as long as it satisfies those substring constraints. The body of the WAF rule (config form field) is written verbatim to that path. By choosing a filename like 92etc92cron.d92nginx_cfg_evil (resolving to /etc/cron.d/nginx_cfg_evil), an attacker drops a cron entry on the load balancer with attacker-controlled content. Cron parses the file on its next scan, executing the embedded job as root — full RCE on every load balancer the caller's group manages. At time of publication, there are no publicly available patches.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS