Platform
nginx
Component
nginx
Opgelost in
8.2.7
8.2.7
CVE-2026-27811 beschrijft een Command Injection kwetsbaarheid in Roxy-WI, een webinterface voor het beheren van Haproxy, Nginx, Apache en Keepalived servers. Deze kwetsbaarheid stelt geauthenticeerde gebruikers in staat om willekeurige systeemcommando's uit te voeren op de host waarop de applicatie draait. De kwetsbaarheid treedt op in versies van Roxy-WI tot en met 8.2.6.3 en is verholpen in versie 8.2.6.3.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot volledige controle over de server waarop Roxy-WI draait. Een aanvaller kan gevoelige informatie stelen, configuratiebestanden wijzigen, malware installeren of de server gebruiken als springplank voor aanvallen op andere systemen binnen het netwerk. De kwetsbaarheid bevindt zich in de /config/compare/<service>/<server_ip>/show endpoint, waardoor een aanvaller, na authenticatie, commando's kan injecteren via de URL. Dit is vergelijkbaar met andere Command Injection kwetsbaarheden waarbij onvoldoende validatie van gebruikersinvoer leidt tot ongeautoriseerde code-uitvoering.
Deze kwetsbaarheid is openbaar gemaakt op 2026-03-18. Er is momenteel geen informatie beschikbaar over actieve exploits in de wildernis, maar de kwetsbaarheid is ernstig en vereist onmiddellijke aandacht. De CVSS score van 8.8 (HIGH) geeft aan dat de kwetsbaarheid een aanzienlijk risico vormt. Er zijn geen KEV vermeldingen bekend op het moment van schrijven.
Organizations utilizing Roxy-WI to manage Nginx, Haproxy, Apache, or Keepalived servers are at risk. This includes DevOps teams, system administrators, and security engineers responsible for maintaining these infrastructure components. Shared hosting environments where Roxy-WI is deployed could expose multiple tenants to the vulnerability.
• linux / server:
journalctl -u roxy-wi | grep -i "command injection"• generic web:
curl -I http://<roxy-wi-ip>/config/compare/<service>/<server_ip>/show | grep -i "Content-Type: application/octet-stream"disclosure
Exploit Status
EPSS
1.04% (77% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van Roxy-WI naar versie 8.2.6.3 of hoger. Indien een directe upgrade niet mogelijk is, kan tijdelijk de toegang tot de /config/compare/<service>/<serverip>/show endpoint worden beperkt via een firewall of WAF. Controleer de configuratie van Roxy-WI om te verzekeren dat authenticatie correct is geïmplementeerd en dat gebruikers alleen toegang hebben tot de resources die ze nodig hebben. Na de upgrade, verifieer de fix door een poging te wagen om een commando te injecteren via de /config/compare/<service>/<serverip>/show endpoint; dit zou nu moeten falen.
Werk Roxy-WI bij naar versie 8.2.6.3 of hoger. Deze versie corrigeert de command injection kwetsbaarheid. De update kan worden uitgevoerd via de gebruikelijke distributiekanalen van de software.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-27811 is a Command Injection vulnerability in Roxy-WI versions up to 8.2.6.3, allowing authenticated users to execute arbitrary system commands.
You are affected if you are using Roxy-WI versions 8.2.6.3 or earlier. Immediately assess your deployments.
Upgrade Roxy-WI to version 8.2.6.3 or later. As a temporary measure, implement WAF rules to filter suspicious requests.
No active exploitation has been confirmed at this time, but the vulnerability's ease of exploitation warrants close monitoring.
Refer to the Roxy-WI project's official website and GitHub repository for the latest security advisories and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.