ГлавнаяБаза уязвимостей БДУ → BDU:2023-07941
10критическая

BDU:2023-07941

Уязвимость функции _nginxCmd() программного средства контроля веб-сервера Nginx strong-nginx-controller, позволяющая нарушителю выполнить произвольные команды
Опубликовано: 2023-11-17
Описание

Уязвимость функции _nginxCmd() программного средства контроля веб-сервера Nginx strong-nginx-controller существует из-за непринятия мер по нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды

Затрагиваемое ПО и версии
strong-nginx-controller (до 1.0.2 включительно)IBM Aspera High-Speed Transfer Server (до 3.9.6.2 включительно)IBM Aspera High-Speed Transfer Endpoint (до 3.9.6.2 включительно)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений.

Использование рекомендаций:
https://www.ibm.com/support/pages/security-bulletin-nginx-vulnerability-cve-2020-7621-impacts-ibm-aspera-high-speed-transfer-server-and-aspera-high-speed-transfer-endpoint-versions-prior-v40

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/strongloop/strong-nginx-controller/blob/master/lib/server.js#L65%2Chttps://snyk.io/vuln/SNYK-JS-STRONGNGINXCONTROLLER-564248
Проверьте безопасность своего сайта и почты → Полная проверка домена