本文共 524 字,大约阅读时间需要 1 分钟。
nginxWebUI是一款专为nginx配置设计的图形化管理工具。它通过网页界面简化了nginx的各种配置操作,包括但不限于HTTP和TCP协议转发、反向代理、负载均衡、静态HTML服务器配置以及SSL证书的管理。用户可以通过界面完成配置,并一键生成nginx.conf文件,实现nginx的快速启动与重载。
该工具的后台接口允许执行nginx相关命令。由于未对用户输入进行有效性检查,攻击者可通过后台接口执行任意命令。同时,系统的权限校验机制存在缺陷,可能导致权限绕过。更严重的是,前台用户可直接调用后台接口,最终可能实现无条件远程命令执行。
该漏洞影响版本nginxWebUI <= 3.5.0。
FOFA:app="nginxWebUI"
通过构造特定请求 URI /AdminPage/conf/runCmd?cmd=exec%26%26echo%20nginx,可以实现远程命令执行。攻击者可利用此漏洞对服务器造成严重损害。
该漏洞的存在使得nginxWebUI工具具备较高的安全风险,建议及时升级至版本3.5.1及以上,及时修复相关安全问题。
转载地址:http://pqcfk.baihongyu.com/