Критична вразливість у веб-інтерфейсі nginx ui дозволяє повний контроль над сервером

Вразливість у nginx ui дозволяє віддаленим зловмисникам без автентифікації контролювати сервер nginx через уразливий HTTP-ендпоінт.
CVE-2026-33032CVSS 9.8Web

Критична вразливість у веб-інтерфейсі nginx ui дозволяє повний контроль над сервером

Вразливість у nginx ui дозволяє віддаленим зловмисникам без автентифікації контролювати сервер nginx через уразливий HTTP-ендпоінт.

CVSS
9.8 CRITICAL
EPSS
98.39%
Активно використовується
немає в KEV
Продукт
nginx ui

Що відомо

Вразливість у nginx ui (версії 2.3.5 і раніше) дозволяє зловмисникам без автентифікації отримати доступ до критичних функцій через HTTP-ендпоінт /mcp_message через відсутність належної перевірки IP. Це дає змогу перезапускати сервер, змінювати конфігурації та повністю контролювати сервіс nginx.

Бізнес-вплив

Для операторів ІТ та власників інфраструктури ця вразливість означає високий ризик повного компрометації веб-сервера nginx через веб-інтерфейс. Зловмисники можуть віддалено змінювати конфігурації, перезапускати сервер і порушувати роботу сервісу, що може призвести до простоїв, втрати даних або подальших атак у мережі.

Рекомендовані дії адміністратора

Рекомендується негайно перевірити наявність оновлень від розробника nginx ui та застосувати їх після виходу. Тимчасово обмежте доступ до інтерфейсу nginx ui лише довіреними IP-адресами, ретельно перевірте журнали доступу на ознаки зловмисної активності та пріоритезуйте виправлення цієї вразливості у вашій системі безпеки.

Джерела