一、 漏洞 CVE-2024-49368 基础信息
漏洞标题
未验证的logrotate设置导致任意命令执行漏洞
来源:AIGC 神龙大模型
漏洞描述信息
Nginx UI 是 Nginx 网络服务器的 Web 用户界面。在 2.0.0-beta.36 版本之前,当 Nginx UI 配置 logrotate 时,没有验证输入就直接将其传递给 exec.Command,导致任意命令执行。2.0.0-beta.36 版本修复了这一问题。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:AIGC 神龙大模型
漏洞标题
Unchecked logrotate settings lead to arbitrary command execution
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Nginx UI is a web user interface for the Nginx web server. Prior to version 2.0.0-beta.36, when Nginx UI configures logrotate, it does not verify the input and directly passes it to exec.Command, causing arbitrary command execution. Version 2.0.0-beta.36 fixes this issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
输入验证不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
Nginx UI 输入验证错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Nginx UI是Jacky个人开发者的一个 Nginx 的 WebUI。 Nginx UI 2.0.0-beta.36之前版本存在输入验证错误漏洞,该漏洞源于配置logrotate时,未验证输入,导致任意命令执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
输入验证错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-49368 的公开POC
# POC 描述 源链接 神龙链接
1 Explorations of CVE-2024-49368 + Exploit Development https://github.com/Aashay221999/CVE-2024-49368 POC详情
三、漏洞 CVE-2024-49368 的情报信息