CVE-2026-45550
KrytyczneCVSS 9.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 — wyżej niż 10% wszystkich znanych CVE
Streszczenie
Roxy-WI to interfejs webowy do zarządzania serwerami Haproxy, Nginx, Apache i Keepalived. W wersjach 8.2.6.4 i wcześniejszych, funkcjonalność PUT /smon/check nie weryfikuje, czy identyfikator check_id należy do grupy użytkownika, co pozwala na nieautoryzowane modyfikacje monitorowania innych użytkowników.
Ocena ryzyka
Każdy uwierzytelniony użytkownik może zmieniać ustawienia monitorowania HTTP, TCP, Ping i DNS innych użytkowników, co prowadzi do potencjalnych naruszeń bezpieczeństwa i utraty danych.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji Roxy-WI, gdy dostępne będą poprawki, oraz wprowadzenie dodatkowych filtrów w funkcjach aktualizacji, aby ograniczyć dostęp do danych tylko do odpowiednich grup użytkowników.
Oryginalny opis (angielski, źródło NVD)
Roxy-WI is a web interface for managing Haproxy, Nginx, Apache and Keepalived servers. In versions 8.2.6.4 and prior, PUT /smon/check (app/routes/smon/routes.py:117-138) gates only on roxywi_common.check_user_group_for_flask() — which validates that the caller has some group, not that the target check_id belongs to it. The downstream SQL update functions update_smon, update_smonHttp, update_smonTcp, update_smonPing, update_smonDns (app/modules/db/smon.py:515-562) all execute WHERE smon_id = ? with no user_group filter. The DELETE path is correctly filtered (app/modules/db/smon.py:319-327 does WHERE id = ? AND user_group = ?), demonstrating that the maintainers know the right pattern but did not apply it on UPDATE. Therefore any authenticated user can iterate over smon_id values and silently rewrite any other tenant's HTTP / TCP / Ping / DNS monitoring check. At time of publication, there are no publicly available patches.

