Уязвимость пользовательского интерфейса Nginx UI сервера nginx связана с отсутствием аутентификации для критичной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к системе путем отправки специально сформированного POST-запроса
Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений (WAF) для фильтрации сетевого трафика;
- ограничение доступа к уязвимому программному обеспечению, используя схему доступа по «белым спискам»;
- ограничение возможности получения неавторизованными пользователями доступа к конечной точке /mcp_message
- использование SIEM-систем для отслеживания событий, связанных с обращением к обработчику mcp.ServeHTTP(c);
- ограничение доступа из внешних сетей (Интернет).
| Балл | 10 — критическая опасность |