CVE-2026-42238: Критична вразливість у веб-інтерфейсі nginx ui
Вразливість у nginx ui дозволяє віддалене виконання команд. Оновіть до версії 2.3.8 для захисту серверів.
- CVSS
- 9.0 CRITICAL
- EPSS
- 50.91%
- Активно використовується
- немає в KEV
- Продукт
- nginx ui
Що відомо
Веб-інтерфейс nginx ui до версії 2.3.8 має критичну вразливість, що дозволяє неавторизованому віддаленому зловмиснику протягом перших 10 хвилин після запуску завантажити шкідливий архів резервної копії та виконати довільні команди на сервері. Це пов’язано з відсутністю автентифікації для точки відновлення резервної копії.
Бізнес-вплив
Вразливість дозволяє зловмиснику отримати контроль над конфігурацією nginx ui та виконати довільні команди з правами користувача, під яким запущено сервіс, часто root у Docker-середовищах. Це створює серйозну загрозу безпеці серверів, що використовують nginx ui, і може призвести до повного компрометації системи.
Рекомендовані дії адміністратора
Адміністраторам рекомендується негайно оновити nginx ui до версії 2.3.8 або новішої. Якщо оновлення неможливе, слід обмежити доступ до веб-інтерфейсу, ретельно перевірити журнали на ознаки експлуатації, а також розглянути заходи з мінімізації впливу, такі як запуск сервісу з мінімальними привілеями та ізоляція в контейнерах.