Podatność w panelu zarządzania 3X-Ui (MHSanaei) umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez atak typu man-in-the-middle podczas procesu aktualizacji. Krytyczny poziom zagrożenia wynika z braku wymagania uwierzytelnienia oraz możliwości pełnego przejęcia kontroli nad systemem.
▸ Pokaż oryginał (EN)
An issue in MHSanaei 3x-ui before v.2.5.3 and before allows a remote attacker to execute arbitrary code via the management script x-ui passes the no check certificate option to wget when downloading updates
Skrypt zarządzający x-ui podczas pobierania aktualizacji wywołuje narzędzie wget z opcją wyłączającą weryfikację certyfikatu TLS (--no-check-certificate). Oznacza to, że połączenie HTTPS nie jest poprawnie walidowane, a atakujący znajdujący się na ścieżce sieciowej może podstawić złośliwy payload w miejsce legalnej aktualizacji. Pobrany i wykonany plik może zawierać dowolny kod, który zostanie uruchomiony w kontekście uprawnień skryptu zarządzającego.
Atakujący może wykonać dowolny kod na serwerze ofiary, co w praktyce oznacza pełne przejęcie kontroli nad systemem, w tym dostęp do danych konfiguracyjnych, kluczy i ruchu sieciowego obsługiwanego przez 3X-Ui.
Należy zaktualizować 3X-Ui do wersji 2.5.3 lub nowszej. Szczegóły poprawki dostępne są w referencjach producenta (pull request #2661 na GitHub).
MHSanaei 3X-Ui w wersjach przed v2.5.3
Podatność została opisana w poradniku bezpieczeństwa DLSEC2025-001 opublikowanym przez digilol.net. Szczegóły techniczne oraz poprawka dostępne są pod adresem https://www.digilol.net/security-advisories/dlsec2025-001.html.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HMhsanaei 3x Ui
APPMhsanaei< 2.5.3