CVE-2026-45566
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 — wyżej niż 8% wszystkich znanych CVE
Streszczenie
Roxy-WI to interfejs webowy do zarządzania serwerami Haproxy, Nginx, Apache i Keepalived. W wersjach 8.2.6.4 i wcześniejszych, proces logowania nieprawidłowo obsługuje adresy URL, co pozwala na wykorzystanie ataku typu open redirect.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do przekierowania użytkowników na złośliwe strony, co może prowadzić do kradzieży danych lub złośliwego oprogramowania. Organizacje powinny być świadome ryzyka związanego z nieautoryzowanym dostępem do ich systemów.
Rekomendacja
Zaleca się aktualizację Roxy-WI do najnowszej wersji, gdy tylko będą dostępne poprawki. Dodatkowo, warto wprowadzić dodatkowe mechanizmy weryfikacji adresów URL w procesie logowania.
Oryginalny opis (angielski, źródło NVD)
Roxy-WI is a web interface for managing Haproxy, Nginx, Apache and Keepalived servers. In versions 8.2.6.4 and prior, the login flow allow-lists next URLs by rejecting strings containing https:// or http:// substrings, then constructs https://{request.host}{next_url} and the JS client redirects via window.location.replace(). The block does not consider the userinfo@host syntax. [email protected]/path produces https://[email protected]/path, which all modern browsers route to evil.example. At time of publication, there are no publicly available patches.

