CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-33432

Critical
Published: Translated: NVD NIST

Summary

Roxy-WI to interfejs webowy do zarządzania serwerami Haproxy, Nginx, Apache i Keepalived. W wersjach do 8.2.8.2, gdy uwierzytelnianie LDAP jest włączone, Roxy-WI tworzy filtr wyszukiwania LDAP, bez odpowiedniego zabezpieczenia wprowadzonej przez użytkownika nazwy użytkownika, co pozwala na wstrzyknięcie metaznaków LDAP.

Risk Assessment

Nieautoryzowany atakujący może manipulować zapytaniem wyszukiwania, co pozwala na ominięcie uwierzytelnienia i uzyskanie dostępu do aplikacji bez znajomości hasła. To stwarza poważne zagrożenie dla bezpieczeństwa danych i systemów organizacji.

Recommendation

Zaleca się aktualizację Roxy-WI do najnowszej wersji, gdy tylko będą dostępne poprawki. Dodatkowo, warto rozważyć wprowadzenie dodatkowych środków zabezpieczających, takich jak ograniczenie dostępu do interfejsu tylko dla zaufanych użytkowników.

Original NVD description (English source)

Roxy-WI is a web interface for managing Haproxy, Nginx, Apache and Keepalived servers. In versions up to and including 8.2.8.2, when LDAP authentication is enabled, Roxy-WI constructs an LDAP search filter by directly concatenating the user-supplied login username into the filter string without escaping LDAP special characters. An unauthenticated attacker can inject LDAP filter metacharacters into the username field to manipulate the search query, cause the directory to return an unintended user entry, and bypass authentication entirely — gaining access to the application without knowing any valid password. As of time of publication, no known patches are available.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS