CVE-2026-45561
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 — wyżej niż 9% wszystkich znanych CVE
Streszczenie
Roxy-WI to interfejs webowy do zarządzania serwerami Haproxy, Nginx, Apache i Keepalived. W wersjach 8.2.6.4 i wcześniejszych, rodzina tras /smon/agent/{version,uptime,status,checks}/<server_ip> przyjmuje komponent ścieżki URL dosłownie, co może prowadzić do nieautoryzowanego dostępu.
Ocena ryzyka
Brak ograniczeń w walidacji adresów IP może umożliwić atakującym dostęp do wrażliwych zasobów, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji Roxy-WI oraz wdrożenie dodatkowych mechanizmów zabezpieczeń, aby ograniczyć dostęp do interfejsu.
Oryginalny opis (angielski, źródło NVD)
Roxy-WI is a web interface for managing Haproxy, Nginx, Apache and Keepalived servers. In versions 8.2.6.4 and prior, the /smon/agent/{version,uptime,status,checks}/<server_ip> family of routes takes the URL path component verbatim into requests.get(f'http://{server_ip}:{agent_port}/...'). The path component is constrained only by Flask's default URL converter, which permits any value (including IPv4 literals like 169.254.169.254, RFC1918 ranges, and 127.0.0.1). At time of publication, there are no publicly available patches.

