Krytyczna luka w interfejsie nginx ui umożliwiająca wstrzyknięcie złośliwej konfiguracji

Krytyczna luka w nginx ui pozwala na wstrzyknięcie złośliwej konfiguracji przez mechanizm przywracania kopii zapasowych. Zalecana aktualizacja do wersji 2.3.4.
CVE-2026-33026CVSS 9.4Web

Krytyczna luka w interfejsie nginx ui umożliwiająca wstrzyknięcie złośliwej konfiguracji

Krytyczna luka w nginx ui pozwala na wstrzyknięcie złośliwej konfiguracji przez mechanizm przywracania kopii zapasowych. Zalecana aktualizacja do wersji 2.3.4.

CVSS
9.4 CRITICAL
EPSS
24.66%
Aktywnie wykorzystywana
brak w KEV
Produkt
nginx ui

Co wiadomo

W interfejsie nginx ui do wersji 2.3.4 mechanizm przywracania kopii zapasowych pozwalał atakującym na modyfikację zaszyfrowanych archiwów i wstrzyknięcie złośliwej konfiguracji podczas przywracania. Luka ta została załatana w wersji 2.3.4.

Wpływ biznesowy

Luka o wysokim poziomie krytyczności (CVSS 9.4) może pozwolić atakującym na przejęcie kontroli nad konfiguracją serwera nginx poprzez manipulację kopiami zapasowymi. Może to prowadzić do poważnych naruszeń bezpieczeństwa, w tym do eskalacji uprawnień i utraty integralności usług webowych. Operatorzy powinni traktować tę lukę priorytetowo, zwłaszcza w środowiskach produkcyjnych korzystających z nginx ui.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie nginx ui do wersji 2.3.4 lub nowszej, w której luka została załatana. W przypadku niemożności natychmiastowej aktualizacji, należy ograniczyć dostęp do mechanizmu przywracania kopii zapasowych oraz monitorować logi pod kątem podejrzanych działań. Warto również przeprowadzić przegląd i weryfikację kopii zapasowych pod kątem ich integralności.

Źródła