CVE-2026-33431 in Roxy-WIinfo

Zusammenfassung

von VulDB • 16.05.2026

Roxy-WI ist eine Weboberfläche zur Verwaltung von Haproxy-, Nginx-, Apache- und Keepalived-Servern. Vor Version 8.2.6.4 akzeptiert der API-Endpunkt POST /config//show einen configver-Parameter, der direkt an einen Basisverzeichnispfad angehängt wird, um einen lokalen Dateipfad zu konstruieren, der anschließend geöffnet und dessen Inhalt an den Aufrufer zurückgegeben wird. Die vorhandene Path-Traversal-Schutzfunktion überprüft nur die Basisverzeichnisvariable (die niemals vom Benutzer gesteuert wird) und ignoriert den vom Benutzer bereitgestellten configver-Wert vollständig. Ein authentifizierter Angreifer kann einen configver-Wert angeben, der `../`-Sequenzen enthält, um das beabsichtigte Verzeichnis zu verlassen und beliebige Dateien zu lesen, auf die der Webanwendungsprozess Zugriff hat. Version 8.2.6.4 enthält einen Patch für das Problem.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

19.03.2026

Veröffentlichung

21.04.2026

Moderieren

akzeptiert

Eintrag

VDB-358366

CPE

bereit

EPSS

0.00055

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-33431
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-33431
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-33431/

ZurückÜbersichtWeiter

Might our Artificial Intelligence support you?

Check our Alexa App!