Katalog CVE

CVE-2026-50892

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.10%

Percentyl 1 — wyżej niż 1% wszystkich znanych CVE

Streszczenie

W Nginx Proxy Manager v2.14.0 występuje nieprawidłowa kontrola dostępu w punkcie pobierania certyfikatów 'Let's Encrypt', co pozwala uwierzytelnionym atakującym na uzyskanie prywatnych kluczy TLS za pomocą spreparowanego żądania GET.

Ocena ryzyka

Organizacja może być narażona na kradzież kluczy prywatnych TLS, co prowadzi do poważnych naruszeń bezpieczeństwa i potencjalnych ataków na komunikację zabezpieczoną tymi kluczami.

Rekomendacja

Zaleca się aktualizację Nginx Proxy Manager do najnowszej wersji oraz przegląd i wzmocnienie kontroli dostępu do punktów pobierania certyfikatów.

Oryginalny opis (angielski, źródło NVD)

Incorrect access control in the "Let's Encrypt" certificate download endpoint of Nginx Proxy Manager v2.14.0 allows authenticated attackers to obtain the TLS private key material via a crafted GET request.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS