Katalog CVE

CVE-2026-55477

WysokieCVSS 7.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.34%

Percentyl 26 — wyżej niż 26% wszystkich znanych CVE

Streszczenie

3X-UI to panel sterowania do zarządzania serwerami Xray-core. Przed wersją 3.3.1, uwierzytelniony administrator mógł nadużyć funkcji importu bazy danych, co prowadziło do możliwości zapisu dowolnych plików na hoście poprzez modyfikację wartości konfiguracyjnych Xray przechowywanych w bazie danych.

Ocena ryzyka

Nadużycie tej podatności może prowadzić do wykonania kodu i uzyskania trwałego dostępu jako użytkownik uruchamiający Xray, w tym jako root, gdy Xray działa z uprawnieniami root. To stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację do wersji 3.3.1 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy monitorować dostęp administratorów oraz wprowadzić ograniczenia w zakresie importu bazy danych.

Oryginalny opis (angielski, źródło NVD)

3X-UI is a web control panel for managing Xray-core servers. Prior to 3.3.1, an authenticated administrator can abuse the database import functionality to achieve arbitrary file write on the host by modifying Xray configuration values stored in the database. This can be leveraged to obtain code execution and persistent access as the user running Xray (including root when Xray is running as root). This vulnerability is fixed in 3.3.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS