CVE-2026-34403 in nginx-uiinformación

Resumen

por VulDB • 2026-05-16

Nginx UI es una interfaz de usuario web para el servidor web Nginx. Antes de la versión 2.3.5, todos los puntos finales WebSocket en nginx-ui utilizan un Upgrader de gorilla/websocket con CheckOrigin que devuelve incondicionalmente true, lo que permite el secuestro de WebSocket entre sitios (CSWSH). Combinado con el hecho de que los tokens de autenticación se almacenan en las cookies del navegador (establecidas mediante JavaScript sin los atributos HttpOnly o SameSite explícitos), una página web maliciosa puede establecer conexiones WebSocket autenticadas con la instancia de nginx-ui cuando un administrador conectado visita la página controlada por el atacante. La versión 2.3.5 corrige el problema.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

GitHub M

Reservar

2026-03-27

Divulgación

2026-04-21

Moderación

aceptado

Artículo

VDB-358377

CPE

listo

EPSS

0.00176

KEV

no

Actividades

muy bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!