Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

Jc21›Приложениеnvd

Nginx Proxy Manager

Уязвимости

7

Эксплуатируемые

0

Макс. CVSS

9.8

Макс. EPSS

0.15198

Распределение по критичности

Критический

2

Высокий

2

Средний

3

Низкий

0

Затронутые диапазоны версий

< 2.0.13< 2.11.3≤ 2.9.19

Также сопоставлено как (исходные строки): nginx_proxy_manager

Топ уязвимостей

CVE-2024-46256Уязвимость инъекции команд в requestLetsEncryptSsl в NginxProxyManager 2.11.3 позволяет злоумышленнику с помощью сертификата Add's Encrypt.

CVE-2023-27224Проблема, обнаруженная в NginxProxyManager v.2.9.19, позволяет злоумышленнику выполнять произвольный код через скрипт lua в файле конфигурации.

CVE-2024-39935jc21 NGINX Proxy Manager до версии 2.11.3 допускает внедрение команд ОС backend/internal/certificate.js аутентифицированным пользователем (с привилегиями управления сертификатами) через ненадежный ввод в конфигурацию поставщика DNS. ПРИМЕЧАНИЕ: это не является частью какого-либо программного обеспечения NGINX, поставляемого F5.

CVE-2023-23596jc21 NGINX Proxy Manager до версии 2.9.19 допускает внедрение команд ОС. При создании списка доступа серверная часть создает файл htpasswd с введенным именем пользователя и/или паролем, который объединяется без какой-либо проверки и напрямую передается команде exec, что потенциально позволяет аутентифицированному злоумышленнику выполнять произвольные команды в системе. ПРИМЕЧАНИЕ. Это не является частью программного обеспечения NGINX, поставляемого F5.

CVE-2024-46257Уязвимость инъекций команд в requestLetsEncryptSlWithDnsВыката в NginxProxyManager 2.11.3 позволяет злоумышленнику добиться удаленного выполнения кода с помощью сертификата Add Let's Encrypt. ПРИМЕЧАНИЕ: Это не является частью любого программного обеспечения NGINX, поставляемого F5.

CVE-2019-15517jc21 Nginx Proxy Manager до версии 2.0.13 допускает обход каталогов %2e%2e%2f.

CVE-2025-50579Ошибка CORS в Nginx Proxy Manager v2.12.3 позволяет несанкционированным доменам получать доступ к конфиденциальным данным, в частности к токелам JWT, из-за неправильной проверки заголовка Origin. Эта дезинформация позволяет злоумышленникам перехватывать токены с помощью простого скрипта браузера и эксфильтровать их на удаленный сервер, контролируемый злоумышленником, что может привести к несанкционированным действиям в приложении.

Перейти к вендору →Открыть в каталоге с фильтром по продукту →