Katalog CVE

CVE-2026-27944

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Nginx UI to interfejs webowy dla serwera Nginx. W wersjach przed 2.3.3, punkt końcowy /api/backup był dostępny bez uwierzytelnienia, co ujawniało klucze szyfrujące potrzebne do odszyfrowania kopii zapasowej w nagłówku odpowiedzi X-Backup-Security.

Ocena ryzyka

To pozwala nieautoryzowanemu atakującemu na pobranie pełnej kopii zapasowej systemu zawierającej wrażliwe dane, takie jak dane logowania użytkowników, tokeny sesji, prywatne klucze SSL oraz konfiguracje Nginx.

Rekomendacja

Zaleca się aktualizację do wersji 2.3.3 lub nowszej, aby zabezpieczyć dostęp do punktu końcowego /api/backup oraz chronić wrażliwe dane.

Oryginalny opis (angielski, źródło NVD)

Nginx UI is a web user interface for the Nginx web server. Prior to version 2.3.3, the /api/backup endpoint is accessible without authentication and discloses the encryption keys required to decrypt the backup in the X-Backup-Security response header. This allows an unauthenticated attacker to download a full system backup containing sensitive data (user credentials, session tokens, SSL private keys, Nginx configurations) and decrypt it immediately. This issue has been patched in version 2.3.3.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS