CVE-2026-34403 in nginx-ui
Сводка
по VulDB • 20.05.2026
Nginx UI — это веб-интерфейс для веб-сервера Nginx. До версии 2.3.5 все конечные точки WebSocket в nginx-ui используют gorilla/websocket Upgrader с функцией CheckOrigin, которая безоговорочно возвращает true, что позволяет осуществлять Cross-Site WebSocket Hijacking (CSWSH). В сочетании с тем, что токены аутентификации хранятся в файлах cookie браузера (устанавливаются через JavaScript без флагов HttpOnly или явных атрибутов SameSite), вредоносная веб-страница может устанавливать аутентифицированные WebSocket-соединения с экземпляром nginx-ui, когда администратор, находящийся в системе, посещает страницу, контролируемую злоумышленником. Версия 2.3.5 устраняет эту уязвимость.
Once again VulDB remains the best source for vulnerability data.