Katalog CVE

CVE-2026-33032

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Nginx UI to interfejs webowy dla serwera Nginx. W wersjach 2.3.5 i wcześniejszych, integracja MCP (Model Context Protocol) udostępnia dwa punkty końcowe HTTP: /mcp i /mcp_message. Punkt końcowy /mcp_message nie wymaga uwierzytelnienia, co pozwala atakującym na pełne przejęcie usługi Nginx.

Ocena ryzyka

Atakujący w sieci mogą korzystać z narzędzi MCP bez uwierzytelnienia, co stwarza poważne zagrożenie dla bezpieczeństwa, umożliwiając m.in. restartowanie Nginx oraz modyfikację plików konfiguracyjnych.

Rekomendacja

Zaleca się zaktualizowanie Nginx UI do najnowszej wersji, aby załatać tę podatność oraz wprowadzenie dodatkowych środków zabezpieczających, takich jak ograniczenie dostępu do punktów końcowych tylko dla zaufanych adresów IP.

Oryginalny opis (angielski, źródło NVD)

Nginx UI is a web user interface for the Nginx web server. In versions 2.3.5 and prior, the nginx-ui MCP (Model Context Protocol) integration exposes two HTTP endpoints: /mcp and /mcp_message. While /mcp requires both IP whitelisting and authentication (AuthRequired() middleware), the /mcp_message endpoint only applies IP whitelisting - and the default IP whitelist is empty, which the middleware treats as "allow all". This means any network attacker can invoke all MCP tools without authentication, including restarting nginx, creating/modifying/deleting nginx configuration files, and triggering automatic config reloads - achieving complete nginx service takeover. At time of publication, there are no publicly available patches.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS