CVE-2026-33032 in nginx-ui
Tóm tắt
Bởi VulDB • 20/05/2026
Nginx UI là giao diện người dùng web cho máy chủ web Nginx. Trong các phiên bản 2.3.5 và các phiên bản cũ hơn, tích hợp MCP (Model Context Protocol) của nginx-ui công khai hai điểm cuối HTTP: /mcp và /mcp_message. Trong khi /mcp yêu cầu cả việc lọc trắng IP và xác thực (middleware AuthRequired()), thì điểm cuối /mcp_message chỉ áp dụng lọc trắng IP - và danh sách lọc trắng IP mặc định là trống, điều mà middleware xử lý như "cho phép tất cả". Điều này có nghĩa là bất kỳ kẻ tấn công mạng nào cũng có thể gọi tất cả các công cụ MCP mà không cần xác thực, bao gồm việc khởi động lại nginx, tạo/sửa/xóa các tệp cấu hình nginx và kích hoạt việc tải lại cấu hình tự động - dẫn đến việc chiếm quyền kiểm soát hoàn toàn dịch vụ nginx. Tại thời điểm công bố, chưa có bản vá lỗi nào được công khai.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.