支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2026-22265 基础信息
漏洞信息
                                        # Roxy-WI logs.py 命令注入漏洞

## 概述
Roxy-WI 存在命令注入漏洞,影响日志查看功能,允许认证用户执行任意系统命令。

## 影响版本
版本 8.2.8.2 之前。

## 细节
漏洞位于 `app/modules/roxywi/logs.py` 第 87 行,`grep` 参数被使用两次:一次经 sanitizer 处理,一次未经处理直接使用,导致命令注入。

## 影响
经过身份认证的攻击者可通过构造恶意请求在服务器上执行任意系统命令。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Roxy-WI has a Command Injection via grep parameter in logs.py allows authenticated RCE
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Roxy-WI is a web interface for managing Haproxy, Nginx, Apache and Keepalived servers. Prior to 8.2.8.2, command injection vulnerability exists in the log viewing functionality that allows authenticated users to execute arbitrary system commands. The vulnerability is in app/modules/roxywi/logs.py line 87, where the grep parameter is used twice - once sanitized and once raw. This vulnerability is fixed in 8.2.8.2.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Roxy-WI 操作系统命令注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Roxy-WI是Roxy-WI开源的一款用于管理 Haproxy、Nginx 和 Keepalived 服务器的 Web 界面。 Roxy-WI 8.2.8.2之前版本存在操作系统命令注入漏洞,该漏洞源于日志查看功能存在命令注入,可能导致执行任意系统命令。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2026-22265 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2026-22265 的情报信息

  • 标题: Release v8.2.8.2 · roxy-wi/roxy-wi · GitHub -- 🔗来源链接

    标签:x_refsource_MISC

    神龙速读:
                                            ### 关键信息

- **项目名称**: roxy-wi
- **版本**: v8.2.8.2
- **发布日期**: 5天前
- **发布者**: Aidaho12

#### 漏洞修复

1. **描述**: 
    - 在处理服务器syslogs时存在的漏洞已被修复。
2. **更改**: 
    - 改进在处理日志时的错误输出。
    Release v8.2.8.2 · roxy-wi/roxy-wi · GitHub

  • 标题: Command Injection via grep parameter in logs.py allows authenticated RCE · Advisory · roxy-wi/roxy-wi · GitHub -- 🔗来源链接

    标签:x_refsource_CONFIRM

    神龙速读:
                                            ### 关键漏洞信息

- **漏洞类型**: 命令注入
- **影响软件**: roxy-wi (pip)
- **受影响版本**: <= 8.x.x
- **CVE ID**: CVE-2026-22265
- **严重性**: High (7.5/10)
- **CVSS v3 Base Metrics**
  - Attack Vector: Network
  - Attack Complexity: High
  - Privileges Required: Low
  - User Interaction: None
  - Scope: Unchanged
  - Confidentiality: High
  - Integrity: High
  - Availability: High
- **Root Cause**: `grep` 参数在 shell 命令中被包含两次,一次经过 sanitize 且一次为 raw user input,导致命令注入漏洞。
- **Preconditions**:
  - 有效的认证(任何有日志访问权限的用户)
  - syslog_server_enable = 1 在设置中(非默认值)
  - 配置了 SSH 访问的服务器
- **Impact**: 认证攻击者可以以 root 身份在 syslog 服务器上执行任意命令,导致系统被完全攻陷。
    Command Injection via grep parameter in logs.py allows authenticated RCE · Advisory · roxy-wi/roxy-wi · GitHub

  • 标题: v8.2.6.2: Update version migration, improve input sanitization, and e… · roxy-wi/roxy-wi@f040d33 · GitHub -- 🔗来源链接

    标签:x_refsource_MISC

    神龙速读:
                                            ### 关键漏洞信息

#### 1. 版本升级和输入验证改进
- **版本升级**:此提交将版本升级到 `8.2.6.2` 并优化了迁移过程,以将版本更新为 `8.2.6.2`。

- **输入验证**:通过在 `checkAjaxInput` 函数中扩展非法字符检查以及更好地管理 `log` 路由中的错误处理来改进输入验证。

#### 2. 日志处理优化
- **增强错误处理**:在 `log` 路由中处理丢失文件异常,以增强错误处理。

- **日志查询优化**:更新 `log` 路由中的 `grep` 处理,使其使用格式化字符串而非旧版格式化。

- **新函数引入**:新引入的 `checkAjaxInput` 函数实现对可能非法字符的处理,避免非法输入导致的安全问题。

#### 3. 用户组验证改进
- **重构用户组检查**:重构了 `check_user_group_for_flask` 与 `check_user_group_for_socket` 函数,以便更好地确保类型安全和返回值的严谨性。

#### 4. 异常处理增强
- **异常处理改进**:在更新日志展示和用户组检查中加入新的异常捕获与处理逻辑,输出更明确的错误信息,如 `File not found` 等。

### 其他关键代码优化步骤
- 文件重命名和路径修改未引入新的漏洞风险;
- 增强了代码的可读性和健壮性。
    v8.2.6.2: Update version migration, improve input sanitization, and e… · roxy-wi/roxy-wi@f040d33 · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2026-22265
四、漏洞 CVE-2026-22265 的评论

暂无评论

发表评论