CVE-2026-33432 in Roxy-WI情報

要約

〜によって VulDB • 2026年05月23日

Roxy-WIは、Haproxy、Nginx、Apache、Keepalivedサーバーを管理するためのWebインターフェースです。バージョン8.2.8.2以前において、LDAP認証が有効化されている場合、Roxy-WIはLDAP特殊文字をエスケープすることなく、ユーザーが入力したログインユーザー名をLDAP検索フィルタ文字列に直接連結することでLDAP検索フィルタを構築します。認証されていない攻撃者は、ユーザー名フィールドにLDAPフィルタのメタ文字を注入して検索クエリを操作し、ディレクトリが意図しないユーザーエントリを返すようにすることで、認証を完全にバイパスし、有効なパスワードを知らなくてもアプリケーションへのアクセスを得ることができます。公開時点では、既知のパッチは存在しません。

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

責任者

GitHub M

予約する

2026年03月19日

公開

2026年04月21日

モデレーション

承諾済み

エントリ

VDB-358358

CPE

準備完了

CWE

CWE-287 (確認済み)

CVSS

7.3 (VulDB)

EPSS

0.00207

KEV

いいえ

アクティビティ

非常低い

ソース

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-33432
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-33432
CVE Details	https://www.cvedetails.com/cve/CVE-2026-33432/

◂ 前概要次 ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!