CVE-2026-34403 in nginx-ui信息

摘要

由 VulDB • 2026-05-10

Nginx UI 是 Nginx Web 服务器的 Web 用户界面。在 2.3.5 版本之前,nginx-ui 中的所有 WebSocket 端点均使用 gorilla/websocket Upgrader,其 CheckOrigin 无条件返回 true,从而导致跨站 WebSocket 劫持(CSWSH)。结合认证令牌存储在浏览器 Cookie 中(通过 JavaScript 设置,但未设置 HttpOnly 或明确的 SameSite 属性)这一事实,当登录的管理员访问攻击者控制的页面时,恶意网页可以建立经过身份验证的 WebSocket 连接以访问 nginx-ui 实例。2.3.5 版本修补了此问题。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

来源

Interested in the pricing of exploits?

See the underground prices here!