CVE-2026-45559
ŚrednieCVSS 4.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 — wyżej niż 9% wszystkich znanych CVE
Streszczenie
Roxy-WI to interfejs webowy do zarządzania serwerami Haproxy, Nginx, Apache i Keepalived. W wersjach 8.2.6.4 i wcześniejszych, funkcja get_ldap_email buduje filtr wyszukiwania LDAP poprzez konkatenację f-stringów, co pozwala na wstrzykiwanie dodatkowych klauzul przez nieodpowiednio przetworzony parametr ścieżki URL z nazwą użytkownika.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do enumeracji lub zbierania atrybutów spoza zamierzonego rekordu, co może prowadzić do ujawnienia wrażliwych informacji. Brak publicznie dostępnych poprawek zwiększa ryzyko dla organizacji.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji Roxy-WI, gdy tylko poprawki będą dostępne. Należy również rozważyć dodatkowe zabezpieczenia, takie jak walidacja i eskapowanie danych wejściowych użytkownika.
Oryginalny opis (angielski, źródło NVD)
Roxy-WI is a web interface for managing Haproxy, Nginx, Apache and Keepalived servers. In versions 8.2.6.4 and prior, get_ldap_email (app/modules/roxywi/user.py:120-157) builds the LDAP search filter via f-string concatenation. The username URL path parameter is taken verbatim — no checkAjaxInput, no LDAP escape — and inserted, a username like *)(mail=*)(cn=* injects additional clauses, allowing the admin to enumerate or harvest attributes outside the intended record. At time of publication, there are no publicly available patches.

