Krytyczna luka w nginx ui umożliwiająca zdalne wykonanie kodu

Luka w nginx ui pozwala na nieautoryzowane wykonanie poleceń systemowych. Aktualizuj do wersji 2.3.8, aby zabezpieczyć serwer przed atakiem.
CVE-2026-42238CVSS 9.0Web

Krytyczna luka w nginx ui umożliwiająca zdalne wykonanie kodu

Luka w nginx ui pozwala na nieautoryzowane wykonanie poleceń systemowych. Aktualizuj do wersji 2.3.8, aby zabezpieczyć serwer przed atakiem.

CVSS
9.0 CRITICAL
EPSS
50.91%
Aktywnie wykorzystywana
brak w KEV
Produkt
nginx ui

Co wiadomo

W nginx ui przed wersją 2.3.8 istnieje luka pozwalająca na nieautoryzowane przesłanie złośliwego archiwum backupu w ciągu pierwszych 10 minut po uruchomieniu aplikacji. Atakujący może nadpisać plik konfiguracyjny i bazę danych, co umożliwia wykonanie dowolnego polecenia systemowego z uprawnieniami użytkownika nginx-ui, często root w środowiskach Docker.

Wpływ biznesowy

Ta luka stanowi poważne zagrożenie dla bezpieczeństwa serwerów korzystających z nginx ui, ponieważ pozwala na zdalne wykonanie kodu z wysokimi uprawnieniami. Może to prowadzić do przejęcia kontroli nad systemem, wycieku danych lub dalszej eskalacji ataku. Operatorzy powinni traktować tę podatność jako krytyczną i priorytetowo podjąć działania naprawcze.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie nginx ui do wersji 2.3.8 lub nowszej, w której luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, ogranicz dostęp do interfejsu webowego, monitoruj logi pod kątem podejrzanych aktywności oraz przeprowadź audyt konfiguracji. Warto również zweryfikować środowiska Docker pod kątem uprawnień użytkownika nginx-ui.

Źródła