nginx-ui严重漏洞CVE-2026-33032:正在被利用,可完全接管Nginx服务器
影响nginx-ui(一个开源基于Web的Nginx管理工具)的关键安全漏洞CVE-2026-33032(CVSS评分9.8)正在被活跃利用。该漏洞为认证绕过漏洞,源于MCP(Model Context Protocol)集成的/mcp_message端点仅应用IP白名单且默认允许所有IP,攻击者无需认证即可调用所有MCP工具,包括重启Nginx、创建/修改/删除Nginx配置文件等。企业应立即审查nginx-ui部署情况并应用最新补丁,同时审查Nginx配置文件完整性。
漏洞详情
nginx-ui是一个开源的基于Web的Nginx管理界面,允许用户通过图形界面管理Nginx服务器配置、监控服务器状态等。该工具的MCP集成暴露了两个HTTP端点:/mcp和/mcp_message。
根据nginx-ui维护者发布的安全公告:/mcp端点同时应用IP白名单和认证(AuthRequired()中间件),而/mcp_message端点仅应用IP白名单。问题在于,默认IP白名单为空,中间件将其视为”允许所有”——这意味着任何网络攻击者都可以无需认证地调用所有MCP工具,包括重启Nginx、创建/修改/删除nginx配置文件。
该漏洞被Pluto Security命名为”MCPwn”。
利用场景与风险
利用该漏洞,攻击者可以:
- 修改Nginx配置,将流量重定向至恶意服务器
- 在配置文件中注入恶意代码,实现持久化
- 完全控制Web服务器,执行任意命令
- 窃取敏感数据或部署进一步攻击
由于nginx-ui通常以高权限运行,攻击成功后可获得服务器的完全控制权。
修复建议
nginx-ui维护者已发布安全更新修复该漏洞。建议所有用户:
- 立即更新至最新版本的nginx-ui
- 审查Nginx配置文件是否有异常更改
- 对/mcp_message端点实施严格的IP访问控制
- 监控nginx-ui相关的异常日志
- 考虑在nginx配置中添加对nginx-ui端点的额外认证层
安全无小事,点滴记心间!
本文是翻译文章,原文作者 The Hacker News编辑团队,文章来源:The Hacker News
原文链接:https://thehackernews.com/2026/04/critical-nginx-ui-vulnerability-cve.html
本文观点仅供参考,具体内容表达以及含义原文为准。
💬 互动
您部署了nginx-ui吗?欢迎在评论区分享您的安全经验!
