Katalog CVE

CVE-2026-45561

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.03%

Percentyl 9 — wyżej niż 9% wszystkich znanych CVE

Streszczenie

Roxy-WI to interfejs webowy do zarządzania serwerami Haproxy, Nginx, Apache i Keepalived. W wersjach 8.2.6.4 i wcześniejszych, rodzina tras /smon/agent/{version,uptime,status,checks}/<server_ip> przyjmuje komponent ścieżki URL dosłownie, co może prowadzić do nieautoryzowanego dostępu.

Ocena ryzyka

Brak ograniczeń w walidacji adresów IP może umożliwić atakującym dostęp do wrażliwych zasobów, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji Roxy-WI oraz wdrożenie dodatkowych mechanizmów zabezpieczeń, aby ograniczyć dostęp do interfejsu.

Oryginalny opis (angielski, źródło NVD)

Roxy-WI is a web interface for managing Haproxy, Nginx, Apache and Keepalived servers. In versions 8.2.6.4 and prior, the /smon/agent/{version,uptime,status,checks}/<server_ip> family of routes takes the URL path component verbatim into requests.get(f'http://{server_ip}:{agent_port}/...'). The path component is constrained only by Flask's default URL converter, which permits any value (including IPv4 literals like 169.254.169.254, RFC1918 ranges, and 127.0.0.1). At time of publication, there are no publicly available patches.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS