漏洞信息
# Roxy-WI 中无需认证的远程代码执行漏洞
## 漏洞概述
Roxy-WI 是一个用于管理 Haproxy、Nginx、Apache 和 Keepalived 服务器的 Web 界面。在 6.1.1.0 之前的版本中存在一个远程代码执行漏洞,攻击者可以通过未处理用户输入的 `subprocess_execute` 函数在 `/app/options.py` 文件中远程执行系统命令。
## 影响版本
- 6.1.1.0 之前的版本
## 漏洞细节
攻击者无需认证即可利用此漏洞。具体来说,用户输入未经过处理,直接传递给 `subprocess_execute` 函数。
## 漏洞影响
此漏洞允许攻击者远程执行任意系统命令,对目标系统的安全造成严重影响。建议用户尽快升级到最新版本。目前没有已知的临时缓解措施。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Unauthenticated Remote Code Execution in Roxy-WI
漏洞描述信息
Roxy-WI is a web interface for managing Haproxy, Nginx, Apache and Keepalived servers. Versions prior to 6.1.1.0 are subject to a remote code execution vulnerability. System commands can be run remotely via the subprocess_execute function without processing the inputs received from the user in the /app/options.py file. Attackers need not be authenticated to exploit this vulnerability. Users are advised to upgrade. There are no known workarounds for this vulnerability.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
漏洞标题
Roxy-WI 操作系统命令注入漏洞
漏洞描述信息
Roxy-WI是开源的一款用于管理 Haproxy、Nginx 和 Keepalived 服务器的 Web 界面。 Roxy-WI 6.1.1.0 之前的版本存在安全漏洞,该漏洞源于系统命令可以通过 subprocess_execute 函数远程运行,远程攻击者利用该漏洞可以执行远程代码。
CVSS信息
N/A
漏洞类别
授权问题