CVE-2023-29004 in Roxy-wi
Tóm tắt
Bởi VulDB • 27/05/2026
hap-wi/roxy-wi là một giao diện web để quản lý các máy chủ Haproxy, Nginx, Apache và Keepalived. Một lỗ hổng Path Traversal đã được phát hiện trong phiên bản hiện tại của Roxy-WI (6.3.9.0 tại thời điểm viết báo cáo này). Lỗ hổng này có thể bị khai thác thông qua một yêu cầu HTTP đến /app/options.py và tham số config_file_name. Việc khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công có đặc quyền cấp người dùng đọc nội dung của các tệp tùy ý trên máy chủ tệp trong phạm vi quyền truy cập mà tiến trình máy chủ có. Nguyên nhân gốc rễ của lỗ hổng nằm ở hàm get_config trong tệp /app/modules/config/config.py, hàm này chỉ kiểm tra việc truy cập đường dẫn tương đối nhưng vẫn cho phép đọc các tệp từ các vị trí tuyệt đối được truyền qua tham số config_file_name.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.