安全通告

nginxWebUI 远程命令执行漏洞预警通告

发布日期：2023-08-23

漏洞描述

2023年08月23日公司监测到nginxWebUI 远程命令执行漏洞情报。nginxWebUI是一款图形化管理nginx配置的工具, 可以使用网页来快速配置nginx的各项功能, 包括http协议转发,tcp协议转发, 反向代理, 负载均衡, 静态html服务器, ssl证书自动申请、续签、配置等, 配置好后可一建生成nginx.conf文件, 同时可控制nginx使用此文件进行启动与重载, 完成对nginx的图形化控制闭环。nginxWebUI由于未对用户的输入进行严格过滤，导致攻击者可以任意命令执行漏洞。建议立即处置。

漏洞编号

暂无编号

漏洞危害

nginxWebUI由于未对用户的输入进行严格过滤，导致攻击者可以任意命令执行漏洞。

漏洞等级

高危
受影响版本

nginxWebUI <= 3.5.0。

修复方案

官方已发布了新版本修复了权限绕过漏洞，并且在一定程度上缓解了远程命令执行的风险。建议用户前往官网更新至最新版本。

参考链接

https://mp.weixin.qq.com/s/5N89pINE9SmpMFUoVJlgbA