CVE-2026-34403 in nginx-uiinfo

Zusammenfassung

von VulDB • 20.05.2026

Nginx UI ist eine webbasierte Benutzeroberfläche für den Nginx-Webserver. Vor Version 2.3.5 verwenden alle WebSocket-Endpunkte in nginx-ui einen gorilla/websocket-Upgrader, bei dem CheckOrigin bedingungslos true zurückgibt, was Cross-Site WebSocket Hijacking (CSWSH) ermöglicht. In Kombination mit der Tatsache, dass Authentifizierungstoken in Browser-Cookies gespeichert werden (gesetzt über JavaScript ohne HttpOnly- oder explizite SameSite-Attribute), kann eine bösartige Webseite authentifizierte WebSocket-Verbindungen zur nginx-ui-Instanz herstellen, wenn ein angemeldeter Administrator die vom Angreifer kontrollierte Seite besucht. Version 2.3.5 behebt das Problem.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub M

Reservieren

27.03.2026

Veröffentlichung

21.04.2026

Moderieren

akzeptiert

Eintrag

VDB-358377

CPE

bereit

EPSS

0.00176

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!