【漏洞通告】nginxWebUI 远程命令执行漏洞

漏洞描述

2023 年 08 月 23 日监测到 nginxWebUI 远程命令执行漏洞情报。 nginxWebUI 是一款图形化管理 nginx 配置的工具, 可以使用网页来快速配置 nginx 的各项功能, 包括 http 协议转发,tcp 协议转发, 反向代理, 负载均衡, 静态 html 服务器, ssl 证书自动申请、续签、配置等, 配置好后可一建生成 nginx.conf 文件, 同时可控制 nginx 使用此文件进行启动与重载, 完成对 nginx 的图形化控制闭环。 

nginxWebUI 由于未对用户的输入进行严格过滤,导致攻击者可以任意命令执行漏洞。建议立即处置。

漏洞编号

暂无

漏洞危害

nginxWebUI 由于未对用户的输入进行严格过滤,导致攻击者可以任意命令执行漏洞。

漏洞等级

高危

受影响版本

nginxWebUI <= 3.5.0。

修复方案

官方已发布了新版本修复了权限绕过漏洞,并且在一定程度上缓解了远程命令执行的风险。建议用户前往官网更新至最新版本。