CVE-2024-23827: 任意ファイルアクセス in Nginx-UI

この脆弱性を悪用すると、攻撃者はNginx-UIのImport Certificate機能に不正なデータを送信し、システム内の任意の場所にファイルを書き込むことができます。具体的には、設定ファイルであるapp.iniを上書きすることで、リモートコード実行が可能になります。これにより、攻撃者はNginxサーバーの設定を完全に制御し、機密情報を盗み出したり、悪意のあるコードを実行したりする可能性があります。この脆弱性は、Nginx-UIを公開サーバーで利用している環境において、特に深刻な影響を及ぼす可能性があります。

Organizations using Nginx-UI to manage their Nginx configurations are at risk, particularly those running older versions (≤ 2.0.0.beta.12). Shared hosting environments where multiple users have access to the Nginx-UI interface are especially vulnerable, as a compromised user account could be leveraged to exploit this vulnerability.

• linux / server: Monitor Nginx access logs for requests to the /import-certificate endpoint with unusual file paths in the POST data. Use grep to search for patterns like /etc/nginx/ or /var/www/.

grep 'import-certificate.*\/etc\/nginx\//access.log'

• generic web: Use curl to test the import-certificate endpoint with a crafted payload containing an absolute path. Check the response for any signs of file creation or modification.

curl -X POST -d 'certificate=evil.txt;/etc/nginx/nginx.conf' http://your-nginx-ui/import-certificate

• nginx: Examine Nginx configuration for any unusual directives or modifications that might indicate a successful exploit. Use nginx -T

1. 2024-01-29Disclosure

   disclosure

1. 予約済み2024-01-22
2. 公開日2024-01-29
3. 更新日2024-11-12
4. EPSS 更新日2026-04-02

Nginx-UIのバージョンを2.0.0.beta.12以降にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、Import Certificate機能の使用を一時的に停止するか、ファイル書き込み先のパスを厳密に制限するなどの回避策を検討してください。WAF（Web Application Firewall）を導入し、不正なファイル書き込みリクエストを検知・遮断することも有効です。また、Nginxのアクセスログを監視し、不審なアクセスパターンを検出することも重要です。