Krytyczna luka RCE w Roxy-WI umożliwiająca zdalne wykonanie kodu przez HAProxy

Krytyczna luka w Roxy-WI pozwala na zdalne wykonanie kodu na load balancerze HAProxy. Sprawdź zalecenia bezpieczeństwa i działania administracyjne.
CVE-2026-45558CVSS 9.9Web

Krytyczna luka RCE w Roxy-WI umożliwiająca zdalne wykonanie kodu przez HAProxy

Krytyczna luka w Roxy-WI pozwala na zdalne wykonanie kodu na load balancerze HAProxy. Sprawdź zalecenia bezpieczeństwa i działania administracyjne.

CVSS
9.9 CRITICAL
EPSS
35.22%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

W Roxy-WI do wersji 8.2.6.4 i wcześniejszych, endpointy zapisujące konfigurację HAProxy akceptują niezwalidowane pole JSON, co pozwala uwierzytelnionym użytkownikom z rolą ≤ 3 na wstrzyknięcie dowolnych dyrektyw HAProxy. Skutkuje to zdalnym wykonaniem kodu na load balancerze jako użytkownik haproxy podczas każdego cyklu sprawdzania stanu.

Wpływ biznesowy

Luka o krytycznym poziomie CVSS 9.9 umożliwia atakującemu z dostępem użytkownika Roxy-WI przejęcie kontroli nad load balancerem poprzez zdalne wykonanie kodu. Może to prowadzić do poważnych zakłóceń w działaniu usług, wycieku danych lub dalszej eskalacji ataku w infrastrukturze. Brak publicznie dostępnych łatek zwiększa ryzyko wykorzystania tej luki w środowiskach produkcyjnych.

Rekomendowane działania administratora

Administratorzy powinni niezwłocznie przejrzeć konfiguracje Roxy-WI i ograniczyć dostęp do ról użytkowników do minimum. Zaleca się monitorowanie logów pod kątem nietypowych zmian konfiguracji HAProxy oraz rozważenie tymczasowego ograniczenia funkcji zapisu konfiguracji. Należy śledzić komunikaty producenta w celu wdrożenia dostępnych łatek i stosować ogólne zasady minimalizacji ekspozycji oraz segmentacji sieci.

Źródła