CVE-2026-33078
CriticalSummary
Roxy-WI to interfejs webowy do zarządzania serwerami Haproxy, Nginx, Apache i Keepalived. Wersje przed 8.2.6.4 zawierają podatność na wstrzykiwanie SQL w funkcji haproxy_section_save, gdzie parametr server_ip jest przekazywany niesanitarnie do zapytania SQL.
Risk Assessment
Atakujący mogą wykorzystać tę podatność do wykonywania dowolnych poleceń SQL, co może prowadzić do kompromitacji bazy danych i wycieku danych. Organizacje powinny być świadome potencjalnych zagrożeń związanych z nieautoryzowanym dostępem do danych.
Recommendation
Zaleca się aktualizację do wersji 8.2.6.4 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wdrożyć mechanizmy sanitizacji danych wejściowych w aplikacji.
Original NVD description (English source)
Roxy-WI is a web interface for managing Haproxy, Nginx, Apache and Keepalived servers. Versions prior to 8.2.6.4 have a SQL injection vulnerability in the haproxy_section_save function in app/routes/config/routes.py. The server_ip parameter, sourced from the URL path, is passed unsanitized through multiple function calls and ultimately interpolated into a SQL query string using Python string formatting, allowing attackers to execute arbitrary SQL commands. Version 8.2.6.4 fixes the issue.

