根据用户的要求,我需要从提供的网页截图中提取关于漏洞的关键信息,并用简洁的中文markdown格式进行总结。 1. 漏洞概述 (Vulnerability Overview): 标题: Improper Path Validation Allows Recursive Deletion of the Nginx Configuration Directory (路径验证不当导致Nginx配置目录被递归删除)。 CVE编号: CVE-2024-45734。 CVSS评分: 8.8 (Critical)。 描述: 这是一个路径遍历漏洞。在Nginx的 配置文件中,如果 指令使用了包含 (双点)的路径,且该路径指向了Nginx配置目录本身,那么当Nginx尝试删除该证书文件时,会错误地删除整个配置目录。 根本原因: 在删除证书文件时,Nginx没有正确验证路径,导致 被解析为上级目录,从而删除了配置目录。 2. 影响范围 (Impact): 受影响版本: Nginx 1.24.0 到 1.27.0 (包括1.27.0)。 受影响组件: Nginx (Open Source)。 具体影响: 攻击者可以通过构造恶意配置,导致Nginx在启动或重载配置时删除其自身的配置目录,造成拒绝服务(DoS)。 3. 修复方案 (Remediation): 修复版本: 1.27.1 和 1.26.3。 建议: 升级到修复版本。 4. POC/利用代码 (POC/Exploit Code): 页面中提供了详细的复现步骤(Proof of Concept),虽然没有直接的脚本文件,但给出了具体的配置修改步骤。 关键配置修改: 在 中添加 (或者类似的指向配置目录的路径)。 在 中添加 。 或者更直接的POC配置片段(在截图中可以看到): 截图中的具体POC步骤是: 1. 备份 。 2. 编辑 ,添加 和 。 3. 保存并退出。 4. 运行 。 5. 检查 目录,发现文件已被删除。 5. 整理输出: 将上述信息整合成简洁的中文markdown。 标题: CVE-2024-45734: Nginx 路径验证不当导致配置目录递归删除 概述: 描述漏洞原理。 影响: 列出版本和后果。 修复: 列出版本。 POC: 提取截图中的配置代码和命令。 Refining the POC section: 截图中的 "Proof of Concept" 部分非常详细。 Step 1: Step 2: Step 3: Add lines: Step 4: Save and exit. Step 5: Step 6: Check directory (it will be empty). I will format this clearly. Final Check: 简洁中文? Yes. Markdown格式? Yes. 包含概述、影响、修复? Yes. 包含POC代码? Yes. 跳过无关信息? Yes. Ready to generate response. CVE-2024-45734: Nginx 路径验证不当导致配置目录递归删除 漏洞概述 漏洞名称: Improper Path Validation Allows Recursive Deletion of the Nginx Configuration Directory CVE编号: CVE-2024-45734 CVSS评分: 8.8 (Critical) 描述: 在 Nginx 的 配置文件中,如果 指令使用了包含 (双点)的路径,且该路径解析后指向了 Nginx 配置目录本身,Nginx 在尝试删除该证书文件时,会错误地递归删除整个配置目录。这通常发生在配置重载或启动时。 影响范围 受影响软件: Nginx (Open Source) 受影响版本: 1.24.0 到 1.27.0 (包括 1.27.0) 后果: 拒绝服务 (DoS)。攻击者可以通过构造恶意配置导致 Nginx 删除其自身的配置目录,使服务无法运行。 修复方案 修复版本: 1.27.1 和 1.26.3 建议: 立即将 Nginx 升级到上述修复版本。 POC / 利用步骤 根据截图中的 "Proof of Concept" 部分,复现该漏洞的步骤如下: 1. 备份配置文件: 2. 编辑配置文件: 使用编辑器(如 nano)打开 : 3. 添加恶意配置: 在配置文件中添加以下两行(利用 指向配置目录本身): 4. 保存并退出编辑器。 5. 重载 Nginx 配置: 6. 验证漏洞:** 检查 目录,你会发现其中的文件(包括 )已被删除。