CVE-2023-29004 in Roxy-withông tin

Tóm tắt

Bởi VulDB • 27/05/2026

hap-wi/roxy-wi là một giao diện web để quản lý các máy chủ Haproxy, Nginx, Apache và Keepalived. Một lỗ hổng Path Traversal đã được phát hiện trong phiên bản hiện tại của Roxy-WI (6.3.9.0 tại thời điểm viết báo cáo này). Lỗ hổng này có thể bị khai thác thông qua một yêu cầu HTTP đến /app/options.py và tham số config_file_name. Việc khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công có đặc quyền cấp người dùng đọc nội dung của các tệp tùy ý trên máy chủ tệp trong phạm vi quyền truy cập mà tiến trình máy chủ có. Nguyên nhân gốc rễ của lỗ hổng nằm ở hàm get_config trong tệp /app/modules/config/config.py, hàm này chỉ kiểm tra việc truy cập đường dẫn tương đối nhưng vẫn cho phép đọc các tệp từ các vị trí tuyệt đối được truyền qua tham số config_file_name.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

chịu trách nhiệm

GitHub, Inc.

Đặt trước

29/03/2023

Tiết lộ

17/04/2023

Kiểm duyệt

được chấp nhận

EPSS

0.00902

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to stay up to date on a daily basis?

Enable the mail alert feature now!