Nginx UI is a web user interface for the Nginx web server. Nginx UI v2.0.0-beta.35 and earlier gets the value from the json field without verification, and can construct a value value in the form of `../../`. Arbitrary files can be written to the server, which may result in loss of permissions. Version 2.0.0-beta.26 fixes the issue.
References
Link | Resource |
---|---|
https://github.com/0xJacky/nginx-ui/releases/tag/v2.0.0-beta.36 | Release Notes |
https://github.com/0xJacky/nginx-ui/security/advisories/GHSA-prv4-rx44-f7jr | Exploit Vendor Advisory |
Configurations
Configuration 1 (hide)
|
History
07 Nov 2024, 15:15
Type | Values Removed | Values Added |
---|---|---|
CPE | cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta4:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta13:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta32:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta18:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta20:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta22:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta21:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta13-patch:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta15:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta11:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta10_patch:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta2:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta1:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta23:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta10:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta6_patch2:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta25:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta28:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta29:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta4_patch:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta6_patch:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta18-patch1:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta19:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta24:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta25-patch1:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta12:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta17:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta3:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta5_patch:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta7:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta23-ptach2:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta27:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta18-patch2:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta14:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta32-patch1:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta8_patch:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta31:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta9:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta25-ptach2:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:*:*:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta30:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta35:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta6:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta16:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta34:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta8:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta5:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta23-patch1:*:*:*:*:*:* cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta33:*:*:*:*:*:* |
|
References | () https://github.com/0xJacky/nginx-ui/releases/tag/v2.0.0-beta.36 - Release Notes | |
References | () https://github.com/0xJacky/nginx-ui/security/advisories/GHSA-prv4-rx44-f7jr - Exploit, Vendor Advisory | |
CVSS |
v2 : v3 : |
v2 : unknown
v3 : 7.5 |
First Time |
Nginxui
Nginxui nginx Ui |
23 Oct 2024, 15:13
Type | Values Removed | Values Added |
---|---|---|
Summary |
|
21 Oct 2024, 17:15
Type | Values Removed | Values Added |
---|---|---|
New CVE |
Information
Published : 2024-10-21 17:15
Updated : 2024-11-07 15:15
NVD link : CVE-2024-49366
Mitre link : CVE-2024-49366
CVE.ORG link : CVE-2024-49366
JSON object : View
Products Affected
nginxui
- nginx_ui
CWE
CWE-22
Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')