ГлавнаяБаза уязвимостей БДУ → BDU:2022-04779
10критическая

BDU:2022-04779 (CVE-2022-31137)

Уязвимость функции subprocess_execute веб-интерфейса для управления серверами Roxy-WI, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-08-04
Описание

Уязвимость функции subprocess_execute (/app/options.py) веб-интерфейса для управления серверами Roxy-WI существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
Roxy-wi (до 6.1.1.0)
Способ устранения

Использование рекомендаций:
https://github.com/hap-wi/roxy-wi/security/advisories/GHSA-53r2-mq99-f532

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2022-31137https://packetstormsecurity.com/files/167805/Roxy-WI-Remote-Command-Execution.htmlhttps://github.com/hap-wi/roxy-wi/commit/82666df1e60c45dd6aa533b01a392f015d32f755https://github.com/hap-wi/roxy-wi/security/advisories/GHSA-53r2-mq99-f532http://packetstormsecurity.com/files/167805/Roxy-WI-Remote-Command-Execution.html
Проверьте безопасность своего сайта и почты → Полная проверка домена