漏洞概述 Nginx Proxy Manager 2.9.14 至 2.15.1 版本中存在一个认证远程代码执行(RCE)漏洞,该漏洞通过 函数中的 OS 命令注入实现。攻击者可以通过存储恶意负载在 字段中,执行任意命令。 影响范围 受影响版本:Nginx Proxy Manager 2.9.14 至 2.15.1 修复版本:2.15.1(commit a5db5ed) CVE 编号:CVE-2026-40519 CVSS 评分:7.7 CVSS 向量:CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/SC:N/SI:N/SA:N 修复方案 修复版本:升级到 Nginx Proxy Manager 2.15.1 或更高版本 修复提交:commit a5db5ed 其他信息 漏洞描述:Nginx Proxy Manager 2.9.14 至 2.15.1 版本中, 函数在 中存在 OS 命令注入漏洞。攻击者可以通过存储恶意负载在 字段中,执行任意命令。用户控制的 值被直接插入到通过 执行的 shell 命令中,没有进行 sanitization 或 escaping,导致注入的命令在后端重启时执行。 参考链接: - Pull Request - Patch Commit 报告者:Yassine Damiri 代码块 页面中未包含 POC 代码或利用代码。