CVE-2024-23827

Nginx-UI is a web interface to manage Nginx configurations. The Import Certificate feature allows arbitrary write into the system. The feature does not check if the provided user input is a certification/key and allows to write into arbitrary paths in the system. It's possible to leverage the vulnerability into a remote code execution overwriting the config file app.ini. Version 2.0.0.beta.12 fixed the issue.
Configurations

Configuration 1 (hide)

OR cpe:2.3:a:nginxui:nginx_ui:1.2.0:-:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.2.0:alpha2:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.2.0:alpha3:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.2.0:alpha4:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.2.0:rc1:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.2.0:rc2:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.2.0:rc3:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.2.1:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.2.2:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.3.0:-:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.3.0:rc1:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.3.1:-:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.3.1:fix:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.3.2:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.3.3:rc1:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.4.0:-:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.4.0:rc1:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.4.1:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.4.2:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:-:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta1:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta2:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta3:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta4:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta4_fix:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta5:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta6:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta7:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta8:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta9:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.1:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.2:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.0:-:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.0:fix:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.1:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.2:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.3:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.5:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.6:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.7:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.8:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.0:-:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.0:patch:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.1:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.2:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.3:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.4:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.5:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.6:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.7:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.8:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.9:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.8.0:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.8.1:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.8.2:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.8.3:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.8.4:-:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.8.4:patch:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.9.9:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.9.9-1:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.9.9-2:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.9.9-3:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.9.9-4:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta1:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta10:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta10_patch:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta11:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta2:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta3:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta4:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta4_patch:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta5:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta5_patch:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta6:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta6_patch:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta6_patch2:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta7:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta8:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta8_patch:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta9:*:*:*:*:*:*

History

21 Nov 2024, 08:58

Type Values Removed Values Added
References () https://github.com/0xJacky/nginx-ui/security/advisories/GHSA-xvq9-4vpv-227m - Third Party Advisory () https://github.com/0xJacky/nginx-ui/security/advisories/GHSA-xvq9-4vpv-227m - Third Party Advisory

08 Feb 2024, 16:42

Type Values Removed Values Added
CVSS v2 : unknown
v3 : unknown
v2 : unknown
v3 : 9.8
References () https://github.com/0xJacky/nginx-ui/security/advisories/GHSA-xvq9-4vpv-227m - () https://github.com/0xJacky/nginx-ui/security/advisories/GHSA-xvq9-4vpv-227m - Third Party Advisory
CPE cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta3:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta4_patch:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.2.0:rc2:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.1:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.2.0:rc1:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta7:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.8.0:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.3:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.3.1:-:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta4_fix:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta8_patch:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.0:fix:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.6:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta6_patch2:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.4.1:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.0:patch:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.2.0:alpha3:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.0:-:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.3.0:-:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta2:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.9.9-2:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.9:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.7:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.1:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta10:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta1:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.0:-:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.9.9-1:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.2:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.2.0:rc3:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.2.0:alpha2:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.8.1:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.8.2:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.8:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.2.2:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.3:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.4.0:-:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta6_patch:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta5:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:-:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.5:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.2:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta8:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta3:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.4.0:rc1:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta4:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.3.2:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta8:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.3.1:fix:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta9:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta11:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta6:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.9.9:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta6:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.8.4:-:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.5:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.6:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta9:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.2.0:-:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta5:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta5_patch:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.2:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.8.4:patch:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.8:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.3.0:rc1:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta10_patch:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta1:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.9.9-4:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.4.2:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.1:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta4:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta7:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta2:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.3.3:rc1:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.2.0:alpha4:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.7:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.4:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.8.3:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.9.9-3:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.2.1:*:*:*:*:*:*:*
First Time Nginxui nginx Ui
Nginxui

29 Jan 2024, 16:19

Type Values Removed Values Added
New CVE

Information

Published : 2024-01-29 16:15

Updated : 2024-11-21 08:58


NVD link : CVE-2024-23827

Mitre link : CVE-2024-23827

CVE.ORG link : CVE-2024-23827


JSON object : View

Products Affected

nginxui

  • nginx_ui
CWE
CWE-22

Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')