CVE-2026-33031 in Nginx-UIinfo

Zusammenfassung

von VulDB • 04.06.2026

Nginx UI ist eine webbasierte Benutzeroberfläche für den Nginx-Webserver. Vor Version 2.3.4 kann ein Benutzer, der von einem Administrator deaktiviert wurde, zuvor ausgestellte API-Tokens bis zum Ablauf der Token-Lebensdauer nutzen. In der Praxis beendet die Deaktivierung eines kompromittierten Kontos den Zugriff dieses Benutzers nicht tatsächlich, sodass ein Angreifer, der bereits ein JWT gestohlen hat, weiterhin geschützte Ressourcen lesen und ändern kann, nachdem das Konto als deaktiviert markiert wurde. Da Tokens zur Erstellung neuer Konten verwendet werden können, ist es möglich, dass der deaktivierte Benutzer die Privilegien beibehält. Version 2.3.4 behebt das Problem.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

17.03.2026

Veröffentlichung

21.04.2026

Moderieren

akzeptiert

Eintrag

VDB-358364

CPE

bereit

EPSS

0.00038

KEV

nein

Aktivitäten

very low

Sektor

Insurance, Government, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-33031
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-33031
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-33031/

ZurückÜbersichtWeiter

Want to stay up to date on a daily basis?

Enable the mail alert feature now!