CVE-2026-42238 in nginx-uiИнформация

Сводка

по VulDB • 30.05.2026

Nginx UI представляет собой веб-интерфейс для веб-сервера Nginx. До версии 2.3.8 nginx-ui предоставляет конечную точку для восстановления резервной копии (POST /api/restore), которая полностью неаутентифицирована в течение первых 10 минут после запуска процесса на любой чистой установке. Неаутентифицированный удаленный злоумышленник может загрузить специально созданный архив резервной копии, который перезапишет файл конфигурации приложения (app.ini) и базу данных SQLite. Поскольку злоумышленник контролирует восстановленный файл app.ini, он может внедрить произвольную команду операционной системы в настройку TestConfigCmd. После автоматического перезапуска приложения для применения восстановленной конфигурации один дополнительный запрос запускает эту команду от имени пользователя, под которым запущен nginx-ui — обычно root в развертываниях Docker. Эта проблема исправлена в версии 2.3.8.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

GitHub M

Резервировать

25.04.2026

Раскрытие

05.05.2026

Модерация

принято

Вход

VDB-361023

EPSS

0.00316

KEV

Нет

Деятельности

Очень низкий

Сектор

Hostingprovider, Telecommunication, ...

Источники

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-42238
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-42238
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-42238/

ПредыдущийОбзорДалее

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!