CVE-2024-49367

Nginx UI is a web user interface for the Nginx web server. Prior to version 2.0.0-beta.36, the log path of nginxui is controllable. This issue can be combined with the directory traversal at `/api/configs` to read directories and file contents on the server. Version 2.0.0-beta.36 fixes the issue.
ProviderTypeBase ScoreAtk. VectorAtk. ComplexityPriv. RequiredVector
NISTNIST
7.5 HIGH
NETWORK
LOW
NONE
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
GitHub_MCNA
---
---
CISA-ADPADP
---
---
Base Score
CVSS 3.x
EPSS Score
Percentile: 16%
VendorProductVersion
nginxuinginx_ui
𝑥
≤ 1.9.9-4
nginxuinginx_ui
2.0.0:beta1
nginxuinginx_ui
2.0.0:beta10
nginxuinginx_ui
2.0.0:beta10_patch
nginxuinginx_ui
2.0.0:beta11
nginxuinginx_ui
2.0.0:beta12
nginxuinginx_ui
2.0.0:beta13
nginxuinginx_ui
2.0.0:beta13-patch
nginxuinginx_ui
2.0.0:beta14
nginxuinginx_ui
2.0.0:beta15
nginxuinginx_ui
2.0.0:beta16
nginxuinginx_ui
2.0.0:beta17
nginxuinginx_ui
2.0.0:beta18
nginxuinginx_ui
2.0.0:beta18-patch1
nginxuinginx_ui
2.0.0:beta18-patch2
nginxuinginx_ui
2.0.0:beta19
nginxuinginx_ui
2.0.0:beta2
nginxuinginx_ui
2.0.0:beta20
nginxuinginx_ui
2.0.0:beta21
nginxuinginx_ui
2.0.0:beta22
nginxuinginx_ui
2.0.0:beta23
nginxuinginx_ui
2.0.0:beta23-patch1
nginxuinginx_ui
2.0.0:beta23-ptach2
nginxuinginx_ui
2.0.0:beta24
nginxuinginx_ui
2.0.0:beta25
nginxuinginx_ui
2.0.0:beta25-patch1
nginxuinginx_ui
2.0.0:beta25-ptach2
nginxuinginx_ui
2.0.0:beta27
nginxuinginx_ui
2.0.0:beta28
nginxuinginx_ui
2.0.0:beta29
nginxuinginx_ui
2.0.0:beta3
nginxuinginx_ui
2.0.0:beta30
nginxuinginx_ui
2.0.0:beta31
nginxuinginx_ui
2.0.0:beta32
nginxuinginx_ui
2.0.0:beta32-patch1
nginxuinginx_ui
2.0.0:beta33
nginxuinginx_ui
2.0.0:beta34
nginxuinginx_ui
2.0.0:beta35
nginxuinginx_ui
2.0.0:beta4
nginxuinginx_ui
2.0.0:beta4_patch
nginxuinginx_ui
2.0.0:beta5
nginxuinginx_ui
2.0.0:beta5_patch
nginxuinginx_ui
2.0.0:beta6
nginxuinginx_ui
2.0.0:beta6_patch
nginxuinginx_ui
2.0.0:beta6_patch2
nginxuinginx_ui
2.0.0:beta7
nginxuinginx_ui
2.0.0:beta8
nginxuinginx_ui
2.0.0:beta8_patch
nginxuinginx_ui
2.0.0:beta9
𝑥
= Vulnerable software versions
Common Weakness Enumeration
References
https://github.com/0xJacky/nginx-ui/releases/tag/v2.0.0-beta.36
https://github.com/0xJacky/nginx-ui/security/advisories/GHSA-gr34-jgw4-7j4m