Vulnérabilité dans l’agent de contrôle Nginx

Date de publication : 29/09/2022

CVE-2020-27730[Score CVSS v3 : 9.8] : Une vulnérabilité a été corrigée dans l’agent de contrôle Nginx. Elle est due au fait que l’agent n’utilise pas des chemins absolus lorsqu’il effectue une requête système. Une exploitation réussie peut permettre à un attaquant local et authentifié d'élever ses privilèges et d’injecter du code arbitraire.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Injection de code arbitraire
Élévation de privilèges

Criticité

Score CVSS v3 : 9.8

Existence d’un code d’exploitation

Il n’existe pas de code d’exploitation publique à l’heure actuelle.

Composants vulnérables

Les versions de suivantes de NGINX Controller Agent sont impactées par les vulnérabilités :

1.0.1
2.0.0 - 2.9.0
3.0.0 - 3.9.0

CVE

CVE-2020-27730

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour NGINX Controller Agent vers la version 3.10.0.
Les versions 2.x.0 et 1.x.0 ne seront a priori pas corrigées.

Solution de contournement

Il n’existe pas de solution de contournement proposée à l’heure actuelle.

Liens

Bulletin de sécurité F5 sur NGINX