安全通告
nginxWebUI 远程命令执行漏洞预警通告
发布日期:2023-08-23
漏洞描述
2023年08月23日公司监测到nginxWebUI 远程命令执行漏洞情报。nginxWebUI是一款图形化管理nginx配置的工具, 可以使用网页来快速配置nginx的各项功能, 包括http协议转发,tcp协议转发, 反向代理, 负载均衡, 静态html服务器, ssl证书自动申请、续签、配置等, 配置好后可一建生成nginx.conf文件, 同时可控制nginx使用此文件进行启动与重载, 完成对nginx的图形化控制闭环。nginxWebUI由于未对用户的输入进行严格过滤,导致攻击者可以任意命令执行漏洞。建议立即处置。
漏洞编号
暂无编号
漏洞危害
nginxWebUI由于未对用户的输入进行严格过滤,导致攻击者可以任意命令执行漏洞。
漏洞等级
高危
受影响版本
nginxWebUI <= 3.5.0。
修复方案
官方已发布了新版本修复了权限绕过漏洞,并且在一定程度上缓解了远程命令执行的风险。建议用户前往官网更新至最新版本。
参考链接
https://mp.weixin.qq.com/s/5N89pINE9SmpMFUoVJlgbA