Krytyczna luka w Roxy-WI umożliwiająca nieautoryzowaną konfigurację serwerów

Luka CVE-2026-45552 w Roxy-WI pozwala każdemu zalogowanemu użytkownikowi na zmianę konfiguracji serwerów. Zalecane jest ograniczenie dostępu i monitorowanie systemu.
CVE-2026-45552CVSS 9.9Web

Krytyczna luka w Roxy-WI umożliwiająca nieautoryzowaną konfigurację serwerów

Luka CVE-2026-45552 w Roxy-WI pozwala każdemu zalogowanemu użytkownikowi na zmianę konfiguracji serwerów. Zalecane jest ograniczenie dostępu i monitorowanie systemu.

CVSS
9.9 CRITICAL
EPSS
18.29%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

W Roxy-WI do wersji 8.2.6.4 i wcześniejszych brak odpowiednich kontroli dostępu pozwala każdemu zalogowanemu użytkownikowi, nawet z rolą gościa, na instalację i rekonfigurację komponentów takich jak eksportery, WAF i bazy GeoIP na wszystkich serwerach w bazie. Luka ta wynika z pominięcia dekoratorów sprawdzających uprawnienia i przynależność do grupy.

Wpływ biznesowy

Ta luka stwarza poważne ryzyko dla właścicieli infrastruktury, ponieważ nieuprawnieni użytkownicy mogą zmieniać konfigurację krytycznych usług na serwerach, co może prowadzić do eskalacji uprawnień, naruszenia izolacji między tenantami oraz potencjalnych ataków na systemy produkcyjne. Brak ograniczeń dostępu do operacji administracyjnych podważa bezpieczeństwo całego środowiska zarządzanego przez Roxy-WI.

Rekomendowane działania administratora

Administratorzy powinni niezwłocznie przejrzeć konfigurację Roxy-WI pod kątem kontroli dostępu i ograniczyć uprawnienia użytkowników do niezbędnego minimum. Zaleca się monitorowanie logów pod kątem nietypowych działań związanych z instalacją i konfiguracją komponentów oraz ograniczenie dostępu do interfejsu webowego. Należy śledzić komunikaty producenta w celu uzyskania dostępnych łatek i aktualizacji.

Źródła