CVE-2024-23827

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2024-23827
Nginx-UI is a web interface to manage Nginx configurations. The Import Certificate feature allows arbitrary write into the system. The feature does not check if the provided user input is a certification/key and allows to write into arbitrary paths in the system. It's possible to leverage the vulnerability into a remote code execution overwriting the config file app.ini. Version 2.0.0.beta.12 fixed the issue.

9.8 /10

CVSS v3 : CRITICAL

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 5.9

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References
Link Resource
https://github.com/0xJacky/nginx-ui/security/advisories/GHSA-xvq9-4vpv-227m Third Party Advisory
Configurations

Configuration 1 (hide)

OR cpe:2.3:a:nginxui:nginx_ui:1.2.0:-:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.2.0:alpha2:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.2.0:alpha3:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.2.0:alpha4:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.2.0:rc1:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.2.0:rc2:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.2.0:rc3:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.2.1:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.2.2:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.3.0:-:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.3.0:rc1:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.3.1:-:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.3.1:fix:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.3.2:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.3.3:rc1:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.4.0:-:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.4.0:rc1:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.4.1:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.4.2:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:-:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta1:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta2:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta3:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta4:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta4_fix:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta5:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta6:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta7:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta8:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta9:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.1:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.2:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.0:-:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.0:fix:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.1:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.2:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.3:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.5:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.6:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.7:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.8:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.0:-:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.0:patch:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.1:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.2:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.3:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.4:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.5:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.6:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.7:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.8:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.9:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.8.0:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.8.1:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.8.2:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.8.3:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.8.4:-:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.8.4:patch:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.9.9:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.9.9-1:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.9.9-2:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.9.9-3:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.9.9-4:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta1:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta10:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta10_patch:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta11:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta2:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta3:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta4:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta4_patch:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta5:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta5_patch:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta6:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta6_patch:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta6_patch2:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta7:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta8:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta8_patch:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta9:*:*:*:*:*:*
History

No history.

Information

Published : 2024-01-29 16:15

Updated : 2024-02-08 16:42

NVD link : CVE-2024-23827

Mitre link : CVE-2024-23827

CVE.ORG link : CVE-2024-23827

JSON object : View

Products Affected

nginxui

  • nginx_ui
CWE
CWE-22

Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')