一、 漏洞 CVE-2024-23827 基础信息
漏洞标题
Nginx-UI 任意文件写入,通过导入证书功能实现
来源:AIGC 神龙大模型
漏洞描述信息
Nginx-UI是一个用于管理Nginx配置的Web界面。该Import Certificate功能允许对系统进行任意写入,不检查提供的用户输入是否为证书/密钥,并允许将其写入系统中的任意路径。可以通过利用此漏洞进行远程代码执行,并覆盖app.ini配置文件。版本2.0.0.beta.12修复了此问题。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:AIGC 神龙大模型
漏洞标题
Nginx-UI arbitrary file write through the Import Certificate feature
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Nginx-UI is a web interface to manage Nginx configurations. The Import Certificate feature allows arbitrary write into the system. The feature does not check if the provided user input is a certification/key and allows to write into arbitrary paths in the system. It's possible to leverage the vulnerability into a remote code execution overwriting the config file app.ini. Version 2.0.0.beta.12 fixed the issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:美国国家漏洞数据库 NVD
漏洞标题
Nginx UI 路径遍历漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Nginx UI是Jacky个人开发者的一个 Nginx 的 WebUI。 Nginx UI 2.0.0.beta.12之前版本存在路径遍历漏洞,该漏洞源于导入证书功能允许任意写入,该功能不会检查用户提供的输入是否是证书或密钥,并允许写入系统中的任意路径。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
路径遍历
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-23827 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-23827 的情报信息