nginx-UI présente un stockage non chiffré des jetons d'API DNS et des clés privées ACME

## Résumé Nginx-UI contient une vulnérabilité de référence directe à un objet non sécurisé (IDOR) qui permet à tout utilisateur authentifié d'accéder, de modifier et de supprimer des ressources appartenant à d'autres utilisateurs. La structure de base `Model` de l'application ne contient pas de champ `user_id`, et tous les points de terminaison de ressources effectuent des requêtes par ID sans vérifier la propriété de l'utilisateur, ce qui permet un contournement complet de l'autorisation dans les environnements multi-utilisateurs. ## Gravité **High** - Score CVSS 3.1 : **8.8 (High)** Chaîne de vecteur : `CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H` **Note** : Le score original était de 7.5. Le score a été mis à jour à 8.8 après avoir découvert que des données sensibles (jetons d'API DNS, clés privées ACME) sont stockées en texte clair, ce qui, combiné à IDOR, permet le vol immédiat d'informations d'identification sans déchiffrement. ## Produit nginx-ui ## Versions affectées Toutes les versions jusqu'à la version v2.3.3 incluse ## CWE CWE-639 : Contournement d'autorisation via une clé contrôlée par l'utilisateur ## Description ### Informations d'identification du fournisseur DNS exposées La structure `dns.Config` (`internal/cert/dns/config_env.go`) contient les informations d'identification de l'API : ```go type Configuration struct { Credentials map[string]string `json:"credentials"` // API tokens here Additional map[string]s