CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-33032

Critical
Published: Translated: NVD NIST

Summary

Nginx UI to interfejs webowy dla serwera Nginx. W wersjach 2.3.5 i wcześniejszych, integracja MCP (Model Context Protocol) udostępnia dwa punkty końcowe HTTP: /mcp i /mcp_message. Punkt końcowy /mcp_message nie wymaga uwierzytelnienia, co pozwala atakującym na pełne przejęcie usługi Nginx.

Risk Assessment

Atakujący w sieci mogą korzystać z narzędzi MCP bez uwierzytelnienia, co stwarza poważne zagrożenie dla bezpieczeństwa, umożliwiając m.in. restartowanie Nginx oraz modyfikację plików konfiguracyjnych.

Recommendation

Zaleca się zaktualizowanie Nginx UI do najnowszej wersji, aby załatać tę podatność oraz wprowadzenie dodatkowych środków zabezpieczających, takich jak ograniczenie dostępu do punktów końcowych tylko dla zaufanych adresów IP.

Original NVD description (English source)

Nginx UI is a web user interface for the Nginx web server. In versions 2.3.5 and prior, the nginx-ui MCP (Model Context Protocol) integration exposes two HTTP endpoints: /mcp and /mcp_message. While /mcp requires both IP whitelisting and authentication (AuthRequired() middleware), the /mcp_message endpoint only applies IP whitelisting - and the default IP whitelist is empty, which the middleware treats as "allow all". This means any network attacker can invoke all MCP tools without authentication, including restarting nginx, creating/modifying/deleting nginx configuration files, and triggering automatic config reloads - achieving complete nginx service takeover. At time of publication, there are no publicly available patches.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS