CVE-2023-29004 in Roxy-wiالمعلومات

الملخص

بحسب VulDB • 27/05/2026

hap-wi/roxy-wi هو واجهة ويب لإدارة خوادم Haproxy و Nginx و Apache و Keepalived. تم العثور على ثغرة اجتياز المسار (Path Traversal) في الإصدار الحالي من Roxy-WI (6.3.9.0 في وقت كتابة هذا التقرير). يمكن استغلال الثغرة عبر طلب HTTP إلى /app/options.py ومعامل config_file_name. يمكن أن يسمح الاستغلال الناجح لهذه الثغرة لمهاجم يتمتع بصلاحيات مستوى المستخدم بالحصول على محتوى ملفات عشوائية على خادم الملفات ضمن نطاق ما يمكن لعمليات الخادم الوصول إليه. تكمن جذر الثغرة في دالة get_config الموجودة في ملف /app/modules/config/config.py، والتي تتحقق فقط من اجتياز المسار النسبي، لكنها لا تزال تسمح بقراءة الملفات من المواقع المطلقة الممررة عبر معامل config_file_name.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

GitHub, Inc.

حجز

29/03/2023

إفشاء

17/04/2023

الاعتدال

تمت الموافقة

إدخال

VDB-226204

EPSS

0.00902

KEV

لا

النشاطات

منخفض جدًا

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!