Krytyczna luka w interfejsie nginx ui umożliwiająca przejęcie serwera

Luka w nginx ui pozwala na nieautoryzowany dostęp do krytycznych funkcji serwera nginx. Zalecane natychmiastowe działania zabezpieczające.
CVE-2026-33032CVSS 9.8Web

Krytyczna luka w interfejsie nginx ui umożliwiająca przejęcie serwera

Luka w nginx ui pozwala na nieautoryzowany dostęp do krytycznych funkcji serwera nginx. Zalecane natychmiastowe działania zabezpieczające.

CVSS
9.8 CRITICAL
EPSS
98.39%
Aktywnie wykorzystywana
brak w KEV
Produkt
nginx ui

Co wiadomo

W wersjach 2.3.5 i wcześniejszych interfejs nginx ui posiada lukę w zabezpieczeniach MCP, gdzie endpoint /mcp_message nie wymaga uwierzytelnienia, a domyślna biała lista IP jest pusta, co pozwala na nieautoryzowany dostęp. Atakujący może w pełni przejąć kontrolę nad usługą nginx, m.in. restartować serwer i modyfikować konfigurację.

Wpływ biznesowy

Luka umożliwia zdalne, nieautoryzowane wykonanie krytycznych operacji na serwerze nginx, co może prowadzić do całkowitego przejęcia usługi i poważnych zakłóceń w działaniu infrastruktury IT. Organizacje korzystające z nginx ui powinny traktować tę podatność jako wysokie ryzyko dla ciągłości działania i bezpieczeństwa danych.

Rekomendowane działania administratora

Zaleca się natychmiastową weryfikację wersji nginx ui i monitorowanie dostępności aktualizacji od dostawcy. Do czasu wydania poprawek należy ograniczyć dostęp do endpointów MCP wyłącznie do zaufanych adresów IP, przeprowadzić przegląd logów pod kątem podejrzanej aktywności oraz wdrożyć dodatkowe mechanizmy kontroli dostępu i monitoringu.

Źródła