CVE-2026-27811CVE-2026-27811是Roxy-WI中一个严重的命令注入漏洞。Roxy-WI是一款开源的Web管理界面,用于集中管理Haproxy、Nginx、Apache和Keepalived等服务器。该漏洞存在于8.2.6.3之前的版本中,攻击者可以通过访问特定的API端点,利用未经过滤的用户输入在服务器上执行任意系统命令。漏洞的根本原因在于`app/modules/config/config.py`文件第362行,开发者直接将用户可控的参数格式化到命令字符串中,而没有进行任何输入验证或命令转义处理。由于该漏洞需要认证才能利用,因此攻击者需要具备低权限用户账户,但一旦成功利用,攻击者可以完全控制目标服务器,执行任意代码、安装后门或窃取敏感数据。此漏洞的CVSS评分为8.8,属于高危级别,对系统机密性、完整性和可用性都造成严重影响。建议所有使用受影响版本的用户立即升级到8.2.6.3或更高版本。
该命令注入漏洞的技术根源在于Roxy-WI的`/config/compare/<service>/<server_ip>/show`端点存在不安全的输入处理。在`app/modules/config/config.py`的第362行,代码直接将URL路径参数`<server_ip>`的值拼接到用于执行系统命令的模板字符串中。由于缺少对特殊字符的过滤和转义,攻击者可以通过在`server_ip`参数中注入分号、管道符或反引号等shell元字符来执行额外命令。例如,攻击者可以构造类似`; whoami;`的payload来在服务器上执行系统命令。漏洞的利用前提是攻击者拥有一个有效的低权限用户账户,但许多部署环境中默认账户或测试账户可能仍然存在,这大大降低了攻击门槛。成功利用此漏洞后,攻击者可以在web服务的运行权限下执行任意系统命令,从而实现对服务器的完全控制。