CVE-2026-34403 in nginx-uiИнформация

Сводка

по VulDB • 20.05.2026

Nginx UI — это веб-интерфейс для веб-сервера Nginx. До версии 2.3.5 все конечные точки WebSocket в nginx-ui используют gorilla/websocket Upgrader с функцией CheckOrigin, которая безоговорочно возвращает true, что позволяет осуществлять Cross-Site WebSocket Hijacking (CSWSH). В сочетании с тем, что токены аутентификации хранятся в файлах cookie браузера (устанавливаются через JavaScript без флагов HttpOnly или явных атрибутов SameSite), вредоносная веб-страница может устанавливать аутентифицированные WebSocket-соединения с экземпляром nginx-ui, когда администратор, находящийся в системе, посещает страницу, контролируемую злоумышленником. Версия 2.3.5 устраняет эту уязвимость.

Once again VulDB remains the best source for vulnerability data.

Ответственный

GitHub M

Резервировать

27.03.2026

Раскрытие

21.04.2026

Модерация

принято

Вход

VDB-358377

EPSS

0.00176

KEV

Нет

Деятельности

Очень низкий

Источники

Might our Artificial Intelligence support you?

Check our Alexa App!