nginx-UI heeft Ongecodeerde Opslag van DNS API-tokens en ACME Private Keys

## Samenvatting Nginx-UI bevat een Insecure Direct Object Reference (IDOR) kwetsbaarheid die elke geauthenticeerde gebruiker in staat stelt om resources van andere gebruikers te benaderen, te wijzigen en te verwijderen. De basis `Model` struct van de applicatie mist een `user_id` veld, en alle resource endpoints voeren queries uit op ID zonder de eigendom van de gebruiker te verifiëren, waardoor volledige autorisatie bypass mogelijk is in multi-user omgevingen. ## Ernst **High** - CVSS 3.1 Score: **8.8 (High)** Vector String: `CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H` **Opmerking**: De oorspronkelijke score was 7.5. De score is bijgewerkt naar 8.8 na de ontdekking dat gevoelige gegevens (DNS API-tokens, ACME private keys) in platte tekst worden opgeslagen, wat in combinatie met IDOR onmiddellijke diefstal van inloggegevens mogelijk maakt zonder decryptie. ## Product nginx-ui ## Betroffen Versies Alle versies tot en met v2.3.3 ## CWE CWE-639: Authorization Bypass Through User-Controlled Key ## Beschrijving ### Blootgestelde DNS Provider Credentials De `dns.Config` structuur (`internal/cert/dns/config_env.go`) bevat API credentials: ```go type Configuration struct { Credentials map[string]string `json:"credentials"` // API tokens here Additional map[string]s