CVE-2024-45734: Nginx路径验证不当致配置目录删除

根据用户的要求，我需要从提供的网页截图中提取关于漏洞的关键信息，并用简洁的中文markdown格式进行总结。 1. 漏洞概述 (Vulnerability Overview): 标题: Improper Path Validation Allows Recursive Deletion of the Nginx Configuration Directory (路径验证不当导致Nginx配置目录被递归删除)。 CVE编号: CVE-2024-45734。 CVSS评分: 8.8 (Critical)。 描述: 这是一个路径遍历漏洞。在Nginx的 配置文件中，如果 指令使用了包含 （双点）的路径，且该路径指向了Nginx配置目录本身，那么当Nginx尝试删除该证书文件时，会错误地删除整个配置目录。 根本原因: 在删除证书文件时，Nginx没有正确验证路径，导致 被解析为上级目录，从而删除了配置目录。 2. 影响范围 (Impact): 受影响版本: Nginx 1.24.0 到 1.27.0 (包括1.27.0)。 受影响组件: Nginx (Open Source)。 具体影响: 攻击者可以通过构造恶意配置，导致Nginx在启动或重载配置时删除其自身的配置目录，造成拒绝服务（DoS）。 3. 修复方案 (Remediation): 修复版本: 1.27.1 和 1.26.3。 建议: 升级到修复版本。 4. POC/利用代码 (POC/Exploit Code): 页面中提供了详细的复现步骤（Proof of Concept），虽然没有直接的脚本文件，但给出了具体的配置修改步骤。 关键配置修改: 在 中添加 (或者类似的指向配置目录的路径)。 在 中添加 。 或者更直接的POC配置片段（在截图中可以看到）： 截图中的具体POC步骤是： 1. 备份 。 2. 编辑 ，添加 和 。 3. 保存并退出。 4. 运行 。 5. 检查 目录，发现文件已被删除。 5. 整理输出: 将上述信息整合成简洁的中文markdown。 标题: CVE-2024-45734: Nginx 路径验证不当导致配置目录递归删除 概述: 描述漏洞原理。 影响: 列出版本和后果。 修复: 列出版本。 POC: 提取截图中的配置代码和命令。 Refining the POC section: 截图中的 "Proof of Concept" 部分非常详细。 Step 1: Step 2: Step 3: Add lines: Step 4: Save and exit. Step 5: Step 6: Check directory (it will be empty). I will format this clearly. Final Check: 简洁中文？ Yes. Markdown格式？ Yes. 包含概述、影响、修复？ Yes. 包含POC代码？ Yes. 跳过无关信息？ Yes. Ready to generate response. CVE-2024-45734: Nginx 路径验证不当导致配置目录递归删除 漏洞概述 漏洞名称: Improper Path Validation Allows Recursive Deletion of the Nginx Configuration Directory CVE编号: CVE-2024-45734 CVSS评分: 8.8 (Critical) 描述: 在 Nginx 的 配置文件中，如果 指令使用了包含 （双点）的路径，且该路径解析后指向了 Nginx 配置目录本身，Nginx 在尝试删除该证书文件时，会错误地递归删除整个配置目录。这通常发生在配置重载或启动时。 影响范围 受影响软件: Nginx (Open Source) 受影响版本: 1.24.0 到 1.27.0 (包括 1.27.0) 后果: 拒绝服务 (DoS)。攻击者可以通过构造恶意配置导致 Nginx 删除其自身的配置目录，使服务无法运行。 修复方案 修复版本: 1.27.1 和 1.26.3 建议: 立即将 Nginx 升级到上述修复版本。 POC / 利用步骤 根据截图中的 "Proof of Concept" 部分，复现该漏洞的步骤如下： 1. 备份配置文件: 2. 编辑配置文件: 使用编辑器（如 nano）打开 ： 3. 添加恶意配置: 在配置文件中添加以下两行（利用 指向配置目录本身）： 4. 保存并退出编辑器。 5. 重载 Nginx 配置: 6. 验证漏洞:** 检查 目录，你会发现其中的文件（包括 ）已被删除。

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2024-45734: Nginx路径验证不当致配置目录删除

同源更多文章

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2024-45734: Nginx路径验证不当致配置目录删除

同源更多文章

目标达成感谢每一位支持者 — 我们达成了 100% 目标！