Nginx-UI is a web interface to manage Nginx configurations. The Import Certificate feature allows arbitrary write into the system. The feature does not check if the provided user input is a certification/key and allows to write into arbitrary paths in the system. It's possible to leverage the vulnerability into a remote code execution overwriting the config file app.ini. Version 2.0.0.beta.12 fixed the issue.
References
Link | Resource |
---|---|
https://github.com/0xJacky/nginx-ui/security/advisories/GHSA-xvq9-4vpv-227m | Third Party Advisory |
https://github.com/0xJacky/nginx-ui/security/advisories/GHSA-xvq9-4vpv-227m | Third Party Advisory |
Configurations
Configuration 1 (hide)
|
History
21 Nov 2024, 08:58
Type | Values Removed | Values Added |
---|---|---|
References | () https://github.com/0xJacky/nginx-ui/security/advisories/GHSA-xvq9-4vpv-227m - Third Party Advisory |
08 Feb 2024, 16:42
Type | Values Removed | Values Added |
---|---|---|
CVSS |
v2 : v3 : |
v2 : unknown
v3 : 9.8 |
References | () https://github.com/0xJacky/nginx-ui/security/advisories/GHSA-xvq9-4vpv-227m - Third Party Advisory | |
CPE | cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta3:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta4_patch:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.2.0:rc2:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.7.1:*:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.2.0:rc1:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta7:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.8.0:*:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.7.3:*:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.3.1:-:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta4_fix:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta8_patch:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.6.0:fix:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.7.6:*:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta6_patch2:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.4.1:*:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.7.0:patch:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.2.0:alpha3:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.6.0:-:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.3.0:-:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta2:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.9.9-2:*:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.7.9:*:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.6.7:*:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.6.1:*:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta10:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta1:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.7.0:-:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.9.9-1:*:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.7.2:*:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.2.0:rc3:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.2.0:alpha2:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.8.1:*:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.8.2:*:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.7.8:*:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.2.2:*:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.6.3:*:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.4.0:-:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta6_patch:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta5:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.5.0:-:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.6.5:*:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.5.2:*:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta8:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta3:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.4.0:rc1:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta4:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.3.2:*:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta8:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.3.1:fix:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta9:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta11:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta6:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.9.9:*:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta6:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.8.4:-:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.7.5:*:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.6.6:*:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta9:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.2.0:-:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta5:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta5_patch:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.6.2:*:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.8.4:patch:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.6.8:*:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.3.0:rc1:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta10_patch:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta1:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.9.9-4:*:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.4.2:*:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.5.1:*:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta4:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta7:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta2:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.3.3:rc1:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.2.0:alpha4:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.7.7:*:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.7.4:*:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.8.3:*:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.9.9-3:*:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:1.2.1:*:*:*:*:*:*:* |
|
First Time |
Nginxui nginx Ui
Nginxui |
29 Jan 2024, 16:19
Type | Values Removed | Values Added |
---|---|---|
New CVE |
Information
Published : 2024-01-29 16:15
Updated : 2024-11-21 08:58
NVD link : CVE-2024-23827
Mitre link : CVE-2024-23827
CVE.ORG link : CVE-2024-23827
JSON object : View
Products Affected
nginxui
- nginx_ui
CWE
CWE-22
Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')