CVE-2026-50892
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 1 — wyżej niż 1% wszystkich znanych CVE
Streszczenie
W Nginx Proxy Manager v2.14.0 występuje nieprawidłowa kontrola dostępu w punkcie pobierania certyfikatów 'Let's Encrypt', co pozwala uwierzytelnionym atakującym na uzyskanie prywatnych kluczy TLS za pomocą spreparowanego żądania GET.
Ocena ryzyka
Organizacja może być narażona na kradzież kluczy prywatnych TLS, co prowadzi do poważnych naruszeń bezpieczeństwa i potencjalnych ataków na komunikację zabezpieczoną tymi kluczami.
Rekomendacja
Zaleca się aktualizację Nginx Proxy Manager do najnowszej wersji oraz przegląd i wzmocnienie kontroli dostępu do punktów pobierania certyfikatów.
Oryginalny opis (angielski, źródło NVD)
Incorrect access control in the "Let's Encrypt" certificate download endpoint of Nginx Proxy Manager v2.14.0 allows authenticated attackers to obtain the TLS private key material via a crafted GET request.

