Krytyczna luka w interfejsie nginx ui umożliwiająca wstrzyknięcie złośliwej konfiguracji
Krytyczna luka w nginx ui pozwala na wstrzyknięcie złośliwej konfiguracji przez mechanizm przywracania kopii zapasowych. Zalecana aktualizacja do wersji 2.3.4.
- CVSS
- 9.4 CRITICAL
- EPSS
- 24.66%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- nginx ui
Co wiadomo
W interfejsie nginx ui do wersji 2.3.4 mechanizm przywracania kopii zapasowych pozwalał atakującym na modyfikację zaszyfrowanych archiwów i wstrzyknięcie złośliwej konfiguracji podczas przywracania. Luka ta została załatana w wersji 2.3.4.
Wpływ biznesowy
Luka o wysokim poziomie krytyczności (CVSS 9.4) może pozwolić atakującym na przejęcie kontroli nad konfiguracją serwera nginx poprzez manipulację kopiami zapasowymi. Może to prowadzić do poważnych naruszeń bezpieczeństwa, w tym do eskalacji uprawnień i utraty integralności usług webowych. Operatorzy powinni traktować tę lukę priorytetowo, zwłaszcza w środowiskach produkcyjnych korzystających z nginx ui.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie nginx ui do wersji 2.3.4 lub nowszej, w której luka została załatana. W przypadku niemożności natychmiastowej aktualizacji, należy ograniczyć dostęp do mechanizmu przywracania kopii zapasowych oraz monitorować logi pod kątem podejrzanych działań. Warto również przeprowadzić przegląd i weryfikację kopii zapasowych pod kątem ich integralności.