Origine : bjCSIRT
Numéro : 2023/ALERTE/021
Date de l’alerte : 04/05/2023
APERÇU :
Une vulnérabilité critique a été découverte dans NGINX Management Suite, liée à une fonction inconnue du composant Configuration Object Handler, pouvant entraîner une élévation de privilèges.
DESCRIPTION :
NGINX Management Suite est une plateforme de gestion et de surveillance centralisée pour les serveurs NGINX, conçue pour aider les administrateurs de serveurs NGINX à gérer et à surveiller efficacement leurs déploiements de NGINX. Elle présente une vulnérabilité de type élévation de privilège dans le composant « Configuration Object Handler » nommée CVE-2022-28656 qui a été publiée le 03/05/2023.
Avec ladite vulnérabilité, un attaquant authentifié pourrait contourner la politique d’autorisation et lire ou modifier des objets de configuration
Cette vulnérabilité est de sévérité Élevé et son score CVSSv3 est de 8,1.
IMPACT :
- Atteinte à la confidentialité des données
- Atteinte à l’intégrité des données
SYSTEMES AFFECTÉS :
- NGINX Management Suite versions 2.0.0 à 2.8.0
- NGINX Management Suite versions 1.0.0 à 1.4.1
- NGINX Management Suite versions 1.0.0 à 1.2.0
MESURES À PRENDRE :
Il est recommandé de mettre à jour NGINX Management Suite à la dernière version disponible
REFERENCES :
