CVE-2026-55477
WysokieCVSS 7.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 26 — wyżej niż 26% wszystkich znanych CVE
Streszczenie
3X-UI to panel sterowania do zarządzania serwerami Xray-core. Przed wersją 3.3.1, uwierzytelniony administrator mógł nadużyć funkcji importu bazy danych, co prowadziło do możliwości zapisu dowolnych plików na hoście poprzez modyfikację wartości konfiguracyjnych Xray przechowywanych w bazie danych.
Ocena ryzyka
Nadużycie tej podatności może prowadzić do wykonania kodu i uzyskania trwałego dostępu jako użytkownik uruchamiający Xray, w tym jako root, gdy Xray działa z uprawnieniami root. To stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Rekomendacja
Zaleca się aktualizację do wersji 3.3.1 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy monitorować dostęp administratorów oraz wprowadzić ograniczenia w zakresie importu bazy danych.
Oryginalny opis (angielski, źródło NVD)
3X-UI is a web control panel for managing Xray-core servers. Prior to 3.3.1, an authenticated administrator can abuse the database import functionality to achieve arbitrary file write on the host by modifying Xray configuration values stored in the database. This can be leveraged to obtain code execution and persistent access as the user running Xray (including root when Xray is running as root). This vulnerability is fixed in 3.3.1.

