Nginx-UI is a web interface to manage Nginx configurations. The Import Certificate feature allows arbitrary write into the system. The feature does not check if the provided user input is a certification/key and allows to write into arbitrary paths in the system. It's possible to leverage the vulnerability into a remote code execution overwriting the config file app.ini. Version 2.0.0.beta.12 fixed the issue.

Attack Vector Network

Attack Complexity Low

Privileges Required None

Scope Unchanged

Confidentiality Impact High

Integrity Impact High

Availability Impact High

User Interaction None

No CVSS v3.0

No CVSS v2

Vendors Products
Nginxui
  • Nginx Ui

Configuration 1 [-]

OR cpe:2.3:a:nginxui:nginx_ui:1.2.0:-:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.2.0:alpha2:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.2.0:alpha3:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.2.0:alpha4:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.2.0:rc1:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.2.0:rc2:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.2.0:rc3:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.2.1:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.2.2:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.3.0:-:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.3.0:rc1:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.3.1:-:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.3.1:fix:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.3.2:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.3.3:rc1:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.4.0:-:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.4.0:rc1:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.4.1:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.4.2:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:-:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta1:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta2:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta3:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta4:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta4_fix:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta5:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta6:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta7:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta8:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.0:beta9:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.1:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.5.2:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.0:-:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.0:fix:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.1:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.2:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.3:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.5:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.6:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.7:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.6.8:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.0:-:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.0:patch:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.1:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.2:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.3:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.4:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.5:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.6:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.7:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.8:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.7.9:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.8.0:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.8.1:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.8.2:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.8.3:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.8.4:-:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.8.4:patch:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.9.9:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.9.9-1:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.9.9-2:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.9.9-3:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:1.9.9-4:*:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta1:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta10:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta10_patch:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta11:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta2:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta3:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta4:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta4_patch:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta5:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta5_patch:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta6:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta6_patch:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta6_patch2:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta7:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta8:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta8_patch:*:*:*:*:*:*
cpe:2.3:a:nginxui:nginx_ui:2.0.0:beta9:*:*:*:*:*:*
References
Link Resource
https://github.com/0xJacky/nginx-ui/security/advisories/GHSA-xvq9-4vpv-227m Third Party Advisory
History

No history.

cve-icon MITRE Information

Status: PUBLISHED

Assigner: GitHub_M

Published: 2024-01-29T16:07:13.953Z

Updated: 2024-01-29T16:07:13.953Z

Reserved: 2024-01-22T22:23:54.338Z

Link: CVE-2024-23827

JSON object: View

cve-icon NVD Information

Status : Analyzed

Published: 2024-01-29T16:15:09.867

Modified: 2024-02-08T16:42:39.110

Link: CVE-2024-23827

JSON object: View

cve-icon Redhat Information

No data.

CWE