CVE-2026-34403 in nginx-ui
Sumário
de VulDB • 20/05/2026
A Nginx UI é uma interface de usuário web para o servidor web Nginx. Antes da versão 2.3.5, todos os endpoints WebSocket no nginx-ui utilizam um Upgrader gorilla/websocket com CheckOrigin retornando incondicionalmente true, permitindo Cross-Site WebSocket Hijacking (CSWSH). Combinado com o fato de que os tokens de autenticação são armazenados em cookies do navegador (definidos via JavaScript sem os atributos HttpOnly ou SameSite explícitos), uma página web maliciosa pode estabelecer conexões WebSocket autenticadas com a instância do nginx-ui quando um administrador logado visita a página controlada pelo atacante. A versão 2.3.5 corrige o problema.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.