nginx-UI में DNS API टोकन और ACME प्राइवेट कीज़ का अनएन्क्रिप्टेड स्टोरेज है

## सारांश Nginx-UI में एक असुरक्षित डायरेक्ट ऑब्जेक्ट रेफरेंस (IDOR) भेद्यता है जो किसी भी प्रमाणित उपयोगकर्ता को अन्य उपयोगकर्ताओं के संसाधनों तक पहुंचने, संशोधित करने और हटाने की अनुमति देती है। एप्लिकेशन के बेस `Model` स्ट्रक्चर में `user_id` फ़ील्ड की कमी है, और सभी संसाधन एंडपॉइंट उपयोगकर्ता स्वामित्व को सत्यापित किए बिना ID द्वारा क्वेरी करते हैं, जिससे बहु-उपयोगकर्ता वातावरण में पूर्ण प्राधिकरण बाईपास सक्षम होता है। ## गंभीरता **High** - CVSS 3.1 स्कोर: **8.8 (High)** वेक्टर स्ट्रिंग: `CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H` **नोट**: मूल स्कोर 7.5 था। संवेदनशील डेटा (DNS API टोकन, ACME प्राइवेट कीज़) को प्लेनटेक्स्ट में संग्रहीत किए जाने की खोज के बाद स्कोर को 8.8 में अपडेट किया गया, जो IDOR के साथ संयुक्त होने पर डिक्रिप्शन के बिना तत्काल क्रेडेंशियल चोरी की अनुमति देता है। ## उत्पाद nginx-ui ## प्रभावित संस्करण v2.3.3 तक और सहित सभी संस्करण ## CWE CWE-639: उपयोगकर्ता-नियंत्रित कुंजी के माध्यम से प्राधिकरण बाईपास ## विवरण ### उजागर DNS प्रदाता क्रेडेंशियल्स `dns.Config` स्ट्रक्चर (`internal/cert/dns/config_env.go`) में API क्रेडेंशियल्स शामिल हैं: ```go type Configuration struct { Credentials map[string]string `json:"credentials"` // API टोकन यहाँ Additional map[string]s