CVE-2026-34403 in nginx-uiinformação

Sumário

de VulDB • 20/05/2026

A Nginx UI é uma interface de usuário web para o servidor web Nginx. Antes da versão 2.3.5, todos os endpoints WebSocket no nginx-ui utilizam um Upgrader gorilla/websocket com CheckOrigin retornando incondicionalmente true, permitindo Cross-Site WebSocket Hijacking (CSWSH). Combinado com o fato de que os tokens de autenticação são armazenados em cookies do navegador (definidos via JavaScript sem os atributos HttpOnly ou SameSite explícitos), uma página web maliciosa pode estabelecer conexões WebSocket autenticadas com a instância do nginx-ui quando um administrador logado visita a página controlada pelo atacante. A versão 2.3.5 corrige o problema.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsável

GitHub M

Reservar

27/03/2026

Divulgação

21/04/2026

Moderação

aceite

Entrada

VDB-358377

CPE

pronto

EPSS

0.00176

KEV

não

Atividades

muito baixo

Fontes

Do you want to use VulDB in your project?

Use the official API to access entries easily!