Katalog CVE

CVE-2026-45563

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.03%

Percentyl 8 — wyżej niż 8% wszystkich znanych CVE

Streszczenie

Roxy-WI to interfejs webowy do zarządzania serwerami Haproxy, Nginx, Apache i Keepalived. W wersjach 8.2.6.4 i wcześniejszych, parametr ścieżki server_ip w GET /history/<service>/<server_ip> jest wykorzystywany jako identyfikator użytkownika, gdy service == 'user', bez sprawdzenia autoryzacji.

Ocena ryzyka

Każdy uwierzytelniony użytkownik, nawet gość z niepowiązanej grupy, może przeglądać pełny audyt działań innych użytkowników, co prowadzi do ujawnienia wrażliwych informacji o działaniach na serwerze.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji Roxy-WI, gdy tylko będą dostępne poprawki. Należy również rozważyć ograniczenie dostępu do interfejsu dla nieautoryzowanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

Roxy-WI is a web interface for managing Haproxy, Nginx, Apache and Keepalived servers. In versions 8.2.6.4 and prior, GET /history/<service>/<server_ip> re-uses the server_ip path parameter as a user-id when service == 'user', with no authorization check. Any authenticated user — even a guest in an unrelated group — can list any other user's full action audit trail (server IPs touched, configs deployed, services restarted). At time of publication, there are no publicly available patches.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS