Plateforme
nginx
Composant
nginx
Corrigé dans
8.2.7
8.2.7
Une vulnérabilité d'injection de commandes a été découverte dans Roxy-WI, une interface web pour la gestion de serveurs Haproxy, Nginx, Apache et Keepalived. Cette faille, présente dans les versions antérieures à 8.2.6.3, permet à des utilisateurs authentifiés d'exécuter des commandes système arbitraires sur l'hôte de l'application. La correction est disponible dans la version 8.2.6.3, il est donc fortement recommandé de mettre à jour.
L'injection de commandes dans Roxy-WI permet à un attaquant authentifié d'exécuter des commandes système arbitraires sur le serveur hébergeant l'application. Cela peut conduire à la prise de contrôle complète du serveur, à l'accès non autorisé aux données sensibles, à la modification de la configuration du serveur, ou à l'installation de logiciels malveillants. L'attaquant pourrait également utiliser le serveur compromis comme point de pivot pour attaquer d'autres systèmes au sein du réseau, en exploitant la configuration de proxy ou de routage gérée par Roxy-WI. La vulnérabilité se situe dans le fichier app/modules/config/config.py et est due à une mauvaise gestion des entrées utilisateur.
Cette vulnérabilité a été publiée le 18 mars 2026. Il n'y a pas d'indications d'exploitation active à ce jour, ni de mention sur le KEV de CISA. Aucun proof-of-concept public n'est connu à ce jour, mais la nature de l'injection de commandes rend l'exploitation potentiellement simple pour un attaquant ayant accès à l'interface Roxy-WI.
Organizations utilizing Roxy-WI to manage Nginx, Haproxy, Apache, or Keepalived servers are at risk. This includes DevOps teams, system administrators, and security engineers responsible for maintaining these infrastructure components. Shared hosting environments where Roxy-WI is deployed could expose multiple tenants to the vulnerability.
• linux / server:
journalctl -u roxy-wi | grep -i "command injection"• generic web:
curl -I http://<roxy-wi-ip>/config/compare/<service>/<server_ip>/show | grep -i "Content-Type: application/octet-stream"disclosure
Statut de l'Exploit
EPSS
1.04% (percentile 77%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Roxy-WI vers la version 8.2.6.3 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de restreindre l'accès à l'endpoint /config/compare/<service>/<server_ip>/show aux seuls utilisateurs autorisés. En attendant la mise à jour, une solution de contournement pourrait consister à configurer un pare-feu applicatif web (WAF) pour bloquer les requêtes contenant des commandes potentiellement dangereuses. Il est également possible de surveiller les journaux d'accès et d'erreurs pour détecter des tentatives d'injection de commandes.
Mettez à jour Roxy-WI à la version 8.2.6.3 ou supérieure. Cette version corrige la vulnérabilité d'injection de commandes. La mise à jour peut être effectuée via les canaux de distribution habituels du logiciel.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-27811 is a Command Injection vulnerability in Roxy-WI versions up to 8.2.6.3, allowing authenticated users to execute arbitrary system commands.
You are affected if you are using Roxy-WI versions 8.2.6.3 or earlier. Immediately assess your deployments.
Upgrade Roxy-WI to version 8.2.6.3 or later. As a temporary measure, implement WAF rules to filter suspicious requests.
No active exploitation has been confirmed at this time, but the vulnerability's ease of exploitation warrants close monitoring.
Refer to the Roxy-WI project's official website and GitHub repository for the latest security advisories and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.