Lucene search

[email protected]NVD:CVE-2024-23827

HistoryJan 29, 2024 - 4:15 p.m.

CVE-2024-23827

2024-01-2916:15:09

CWE-22

[email protected]

web.nvd.nist.gov

nginx-ui

web interface

arbitrary write

remote code execution

system paths

vulnerability

config file

fix

version 2.0.0.beta.12

CVSS3

9.8

Attack Vector

NETWORK

Attack Complexity

LOW

Privileges Required

NONE

User Interaction

NONE

Scope

UNCHANGED

Confidentiality Impact

HIGH

Integrity Impact

HIGH

Availability Impact

HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

AI Score

9.8

Confidence

High

EPSS

0.002

Percentile

53.3%

JSON

Nginx-UI is a web interface to manage Nginx configurations. The Import Certificate feature allows arbitrary write into the system. The feature does not check if the provided user input is a certification/key and allows to write into arbitrary paths in the system. It’s possible to leverage the vulnerability into a remote code execution overwriting the config file app.ini. Version 2.0.0.beta.12 fixed the issue.

Affected configurations

Nvd

Node

nginxuinginx_uiMatch1.2.0-

nginxuinginx_uiMatch1.2.0alpha2

nginxuinginx_uiMatch1.2.0alpha3

nginxuinginx_uiMatch1.2.0alpha4

nginxuinginx_uiMatch1.2.0rc1

nginxuinginx_uiMatch1.2.0rc2

nginxuinginx_uiMatch1.2.0rc3

nginxuinginx_uiMatch1.2.1

nginxuinginx_uiMatch1.2.2

nginxuinginx_uiMatch1.3.0-

nginxuinginx_uiMatch1.3.0rc1

nginxuinginx_uiMatch1.3.1-

nginxuinginx_uiMatch1.3.1fix

nginxuinginx_uiMatch1.3.2

nginxuinginx_uiMatch1.3.3rc1

nginxuinginx_uiMatch1.4.0-

nginxuinginx_uiMatch1.4.0rc1

nginxuinginx_uiMatch1.4.1

nginxuinginx_uiMatch1.4.2

nginxuinginx_uiMatch1.5.0-

nginxuinginx_uiMatch1.5.0beta1

nginxuinginx_uiMatch1.5.0beta2

nginxuinginx_uiMatch1.5.0beta3

nginxuinginx_uiMatch1.5.0beta4

nginxuinginx_uiMatch1.5.0beta4_fix

nginxuinginx_uiMatch1.5.0beta5

nginxuinginx_uiMatch1.5.0beta6

nginxuinginx_uiMatch1.5.0beta7

nginxuinginx_uiMatch1.5.0beta8

nginxuinginx_uiMatch1.5.0beta9

nginxuinginx_uiMatch1.5.1

nginxuinginx_uiMatch1.5.2

nginxuinginx_uiMatch1.6.0-

nginxuinginx_uiMatch1.6.0fix

nginxuinginx_uiMatch1.6.1

nginxuinginx_uiMatch1.6.2

nginxuinginx_uiMatch1.6.3

nginxuinginx_uiMatch1.6.5

nginxuinginx_uiMatch1.6.6

nginxuinginx_uiMatch1.6.7

nginxuinginx_uiMatch1.6.8

nginxuinginx_uiMatch1.7.0-

nginxuinginx_uiMatch1.7.0patch

nginxuinginx_uiMatch1.7.1

nginxuinginx_uiMatch1.7.2

nginxuinginx_uiMatch1.7.3

nginxuinginx_uiMatch1.7.4

nginxuinginx_uiMatch1.7.5

nginxuinginx_uiMatch1.7.6

nginxuinginx_uiMatch1.7.7

nginxuinginx_uiMatch1.7.8

nginxuinginx_uiMatch1.7.9

nginxuinginx_uiMatch1.8.0

nginxuinginx_uiMatch1.8.1

nginxuinginx_uiMatch1.8.2

nginxuinginx_uiMatch1.8.3

nginxuinginx_uiMatch1.8.4-

nginxuinginx_uiMatch1.8.4patch

nginxuinginx_uiMatch1.9.9

nginxuinginx_uiMatch1.9.9-1

nginxuinginx_uiMatch1.9.9-2

nginxuinginx_uiMatch1.9.9-3

nginxuinginx_uiMatch1.9.9-4

nginxuinginx_uiMatch2.0.0beta1

nginxuinginx_uiMatch2.0.0beta10

nginxuinginx_uiMatch2.0.0beta10_patch

nginxuinginx_uiMatch2.0.0beta11

nginxuinginx_uiMatch2.0.0beta2

nginxuinginx_uiMatch2.0.0beta3

nginxuinginx_uiMatch2.0.0beta4

nginxuinginx_uiMatch2.0.0beta4_patch

nginxuinginx_uiMatch2.0.0beta5

nginxuinginx_uiMatch2.0.0beta5_patch

nginxuinginx_uiMatch2.0.0beta6

nginxuinginx_uiMatch2.0.0beta6_patch

nginxuinginx_uiMatch2.0.0beta6_patch2

nginxuinginx_uiMatch2.0.0beta7

nginxuinginx_uiMatch2.0.0beta8

nginxuinginx_uiMatch2.0.0beta8_patch

nginxuinginx_uiMatch2.0.0beta9

VendorProductVersionCPE
nginxuinginx_ui1.2.0cpe:2.3:a:nginxui:nginx_ui:1.2.0:-:*:*:*:*:*:*
nginxuinginx_ui1.2.0cpe:2.3:a:nginxui:nginx_ui:1.2.0:alpha2:*:*:*:*:*:*
nginxuinginx_ui1.2.0cpe:2.3:a:nginxui:nginx_ui:1.2.0:alpha3:*:*:*:*:*:*
nginxuinginx_ui1.2.0cpe:2.3:a:nginxui:nginx_ui:1.2.0:alpha4:*:*:*:*:*:*
nginxuinginx_ui1.2.0cpe:2.3:a:nginxui:nginx_ui:1.2.0:rc1:*:*:*:*:*:*
nginxuinginx_ui1.2.0cpe:2.3:a:nginxui:nginx_ui:1.2.0:rc2:*:*:*:*:*:*
nginxuinginx_ui1.2.0cpe:2.3:a:nginxui:nginx_ui:1.2.0:rc3:*:*:*:*:*:*
nginxuinginx_ui1.2.1cpe:2.3:a:nginxui:nginx_ui:1.2.1:*:*:*:*:*:*:*
nginxuinginx_ui1.2.2cpe:2.3:a:nginxui:nginx_ui:1.2.2:*:*:*:*:*:*:*
nginxuinginx_ui1.3.0cpe:2.3:a:nginxui:nginx_ui:1.3.0:-:*:*:*:*:*:*

Vendor	Product	Version	CPE
nginxui	nginx_ui	1.2.0	cpe:2.3:a:nginxui:nginx_ui:1.2.0:-::::::
nginxui	nginx_ui	1.2.0	cpe:2.3:a:nginxui:nginx_ui:1.2.0:alpha2::::::
nginxui	nginx_ui	1.2.0	cpe:2.3:a:nginxui:nginx_ui:1.2.0:alpha3::::::
nginxui	nginx_ui	1.2.0	cpe:2.3:a:nginxui:nginx_ui:1.2.0:alpha4::::::
nginxui	nginx_ui	1.2.0	cpe:2.3:a:nginxui:nginx_ui:1.2.0:rc1::::::
nginxui	nginx_ui	1.2.0	cpe:2.3:a:nginxui:nginx_ui:1.2.0:rc2::::::
nginxui	nginx_ui	1.2.0	cpe:2.3:a:nginxui:nginx_ui:1.2.0:rc3::::::
nginxui	nginx_ui	1.2.1	cpe:2.3:a:nginxui:nginx_ui:1.2.1:::::::*
nginxui	nginx_ui	1.2.2	cpe:2.3:a:nginxui:nginx_ui:1.2.2:::::::*
nginxui	nginx_ui	1.3.0	cpe:2.3:a:nginxui:nginx_ui:1.3.0:-::::::