CRITICAL🇬🇧 English

CVE-2026-45556

Roxy-WI: path traversal + command injection prowadzący do RCE jako root

CVSS 9.9v3.1pub. 2026-06-10

W aplikacji Roxy-WI w wersjach 8.2.6.4 i wcześniejszych możliwe jest zapisanie dowolnego pliku w dowolnym miejscu systemu plików serwera load balancera poprzez podatność path traversal w polu config_file_name. W połączeniu z możliwością wstrzyknięcia własnej treści pliku (np. wpisu cron), atakujący uzyskuje pełne zdalne wykonanie kodu (RCE) z uprawnieniami root.

Pokaż oryginał (EN)

Roxy-WI is a web interface for managing Haproxy, Nginx, Apache and Keepalived servers. In versions 8.2.6.4 and prior, POST /waf/<service>/<server_ip>/rule/<rule_id>/save accepts a config_file_name form field that is passed straight through to config_mod.master_slave_upload_and_restart(...) as the destination path. The validation chain (_replace_config_path_to_correct → check_is_conf) only requires the path to contain a hard-coded service substring (nginx/haproxy/apache2/httpd/keepalived) and the substring conf or cfg, and to not contain ... The encoded-slash substitution 92 → / is applied before the substring check, so the attacker can build any absolute path anywhere on the LB filesystem as long as it satisfies those substring constraints. The body of the WAF rule (config form field) is written verbatim to that path. By choosing a filename like 92etc92cron.d92nginx_cfg_evil (resolving to /etc/cron.d/nginx_cfg_evil), an attacker drops a cron entry on the load balancer with attacker-controlled content. Cron parses the file on its next scan, executing the embedded job as root — full RCE on every load balancer the caller's group manages. At time of publication, there are no publicly available patches.

🤖 Analiza AI
Jak działa

Endpoint POST /waf/<service>/<server_ip>/rule/<rule_id>/save przyjmuje pole formularza config_file_name, które jest przekazywane bezpośrednio jako ścieżka docelowa do funkcji config_mod.master_slave_upload_and_restart(). Mechanizm walidacji sprawdza jedynie, czy ścieżka zawiera określony podciąg znaków (np. nginx, haproxy, conf, cfg) i nie zawiera sekwencji .., jednak nie uwzględnia zakodowanych ukośników: sekwencja 92 jest zamieniana na / przed wykonaniem tej weryfikacji. Dzięki temu atakujący może skonstruować ścieżkę taką jak 92etc92cron.d92nginx_cfg_evil, która po podstawieniu rozwiązuje się do /etc/cron.d/nginx_cfg_evil, spełniając warunki walidacji. Treść pola config (ciało reguły WAF) jest zapisywana dosłownie pod wskazaną ścieżką — atakujący umieszcza tam własny wpis cron, który przy kolejnym odczycie przez demona cron zostaje wykonany jako root.

Skutki

Uwierzytelniony atakujący z dostępem do grupy zarządzanej może uzyskać pełne zdalne wykonanie kodu (RCE) z uprawnieniami root na każdym serwerze load balancer zarządzanym przez daną grupę, co skutkuje całkowitą kompromitacją poufności, integralności i dostępności systemów.

Mitygacja

W momencie publikacji brak dostępnych publicznie patchy. Należy śledzić repozytorium producenta (https://github.com/roxy-wi/roxy-wi) i zastosować łatkę niezwłocznie po jej udostępnieniu. Do czasu wydania patcha zaleca się ograniczenie dostępu do interfejsu Roxy-WI wyłącznie do zaufanych sieci/hostów (np. przez firewall lub VPN), a także monitorowanie zmian w katalogach /etc/cron.d/ oraz innych krytycznych lokalizacjach systemu plików.

Kogo dotyczy

Roxy-WI w wersjach 8.2.6.4 i wcześniejszych

Uwagi

Według opisu podatności w momencie publikacji (2026-06-10) nie istnieją publicznie dostępne patche. Podatność wymaga posiadania konta z dostępem do grupy zarządzanej w Roxy-WI (PR:L), jednak zakres oddziaływania obejmuje wszystkie serwery load balancer w tej grupie (S:C).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Path TraversalCommand Injection
CWE
Referencje