发布日期：2022-01-25
更新日期：2022-04-19

受影响系统：

Nginx NGINX Controller API Management >= 3.18.0
Nginx NGINX Controller API Management <= 3.19.0

描述：

---

CVE(CAN) ID: CVE-2022-23008

Nginx是美国Nginx公司的一款轻量级Web服务器/反向代理服务器及电子邮件（IMAP/POP3）代理服务器。
NGINX Controller API Management 3.18.0至3.19.0版本存在代码注入漏洞。具有“用户”或“管理员”角色访问权限的、未经身份认证的攻击者可利用该漏洞借助未公开的API端点在托管NGINX数据平面实例中注入并执行JavaScript代码。

<*来源：F5
  
  链接：https://support.f5.com/csp/article/K57735782
*>

建议：

---

厂商补丁：

Nginx
-----
Nginx已经为此发布了一个安全公告（K57735782）以及相应补丁:
K57735782：Final - K57735782: NGINX Controller API Management vulnerability CVE-2022-23008
链接：https://support.f5.com/csp/article/K57735782

浏览次数：867
严重程度：0（网友投票）