CVE-2026-45563
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 — wyżej niż 8% wszystkich znanych CVE
Streszczenie
Roxy-WI to interfejs webowy do zarządzania serwerami Haproxy, Nginx, Apache i Keepalived. W wersjach 8.2.6.4 i wcześniejszych, parametr ścieżki server_ip w GET /history/<service>/<server_ip> jest wykorzystywany jako identyfikator użytkownika, gdy service == 'user', bez sprawdzenia autoryzacji.
Ocena ryzyka
Każdy uwierzytelniony użytkownik, nawet gość z niepowiązanej grupy, może przeglądać pełny audyt działań innych użytkowników, co prowadzi do ujawnienia wrażliwych informacji o działaniach na serwerze.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji Roxy-WI, gdy tylko będą dostępne poprawki. Należy również rozważyć ograniczenie dostępu do interfejsu dla nieautoryzowanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
Roxy-WI is a web interface for managing Haproxy, Nginx, Apache and Keepalived servers. In versions 8.2.6.4 and prior, GET /history/<service>/<server_ip> re-uses the server_ip path parameter as a user-id when service == 'user', with no authorization check. Any authenticated user — even a guest in an unrelated group — can list any other user's full action audit trail (server IPs touched, configs deployed, services restarted). At time of publication, there are no publicly available patches.

