【漏洞通告】NginxUIMCP接口绕过认证漏洞(CVE-2026-33032)

admin
admin
admin
0
文章
0
评论
2026-04-18 06:13:39 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: NginxUI的MCP接口存在认证绕过漏洞(CVE-2026-33032),影响版本≤2.3.5。攻击者可利用该漏洞建立MCP会话,配合CVE-2026-27944获取node_secret后执行任意命令,已发现在野利用。官方已发布2.3.6版本修复,建议用户立即升级并采取最小权限、网络隔离等临时防护措施。 综合评分: 85 文章分类: 漏洞分析,WEB安全,应用安全,解决方案,安全运营

cover_image

【漏洞通告】Nginx UI MCP接口绕过认证漏洞(CVE-2026-33032)

深瞳漏洞实验室 深瞳漏洞实验室

深信服千里目安全技术中心

2026年4月17日 16:37 北京

在小说阅读器读本章

去阅读

漏洞名称:

Nginx UI MCP接口绕过认证漏洞(CVE-2026-33032)

组件名称:

Nginx UI

影响范围:

Nginx UI ≤ 2.3.5

漏洞类型:

绕过认证

利用条件:

1、用户认证:不需要用户认证

2、前置条件:默认配置

3、触发方式:远程

综合评价:

<综合评定利用难度>:中等,需要配合其他漏洞才能执行代码。

<综合评定威胁等级>:高危,能导致服务器失陷。

官方解决方案:

已发布

漏洞分析

组件介绍

Nginx UI 是一款开源的、基于 Web 的图形化管理工具,旨在通过直观的界面彻底简化 Nginx 服务器的配置与管理 。它采用 Go 和 Vue 构建,将原本需要通过命令行进行的复杂操作,如管理虚拟主机、配置反向代理、实时监控服务器状态(CPU、内存等)以及在线查看日志,都迁移到了浏览器中完成。

漏洞简介

2026年4月16日,深瞳漏洞实验室监测到一则Nginx UI组件存在绕过认证漏洞的信息,漏洞编号:CVE-2026-33032,漏洞威胁等级:高危。

Nginx UI 的 /mcp_message 接口存在鉴权缺陷,仅做了白名单检验(且默认配置白名单为空),未授权的攻击者可以利用脆弱接口建立 MCP 会话。配合 CVE-2026-27944 获取 node_secret 可以执行任意命令。注意:该漏洞已发现在野利用。

影响范围

目前受影响的Nginx UI版本:

Nginx UI ≤ 2.3.5

解决方案

官方修复建议

官方已发布最新版本修复该漏洞,建议受影响用户将 Nginx UI 更新到 2.3.6 版本。 下载链接:https://github.com/0xJacky/nginx-ui/releases/tag/v2.3.6

临时修复建议

  • 关闭未使用的功能模块,减少潜在攻击入口。

  • 遵循最小权限原则,严控各类敏感操作权限范围。

  • 非必要不暴露服务到公网,限制访问源为可信范围。

  • 定期更新系统及各类组件至安全版本,及时修补已知隐患。

深信服解决方案

1、漏洞安全监测

支持对Nginx UI MCP接口绕过认证漏洞(CVE-2026-33032)的监测,可依据流量收集实时监控业务场景中的受影响资产情况,快速检查受影响范围,相关产品及服务如下:

【深信服安全感知管理平台SIP】预计2026年04月24日发布监测方案,规则ID:11228014。

【深信服安全托管服务MSS】预计2026年04月24日发布监测方案(需要具备SIP组件能力),规则ID:11228014。

【深信服可拓展检测响应平台XDR】预计2026年04月24日发布监测方案,规则ID:11228014。

2、漏洞安全防护

支持对Nginx UI MCP接口绕过认证漏洞(CVE-2026-33032)的防御,可阻断攻击者针对该事件的入侵行为,相关产品及服务如下:

【深信服下一代防火墙AF】预计2026年04月24日发布防护方案,规则ID:11228014。

【深信服Web应用防火墙WAF】预计2026年04月24日发布防护方案,规则ID:11228014。

【深信服安全托管服务MSS】预计2026年04月24日发布防护方案(需要具备AF组件能力),规则ID:11228014。

【深信服可拓展检测响应平台XDR】预计2026年04月24日发布防护方案(需要具备AF组件能力),规则ID:11228014。

参考链接

https://github.com/advisories/GHSA-h6c2-x2m2-mwhf

时间轴

2026/04/16

深瞳漏洞实验室监测到Nginx UI MCP接口绕过认证漏洞信息。

2026/04/17

深瞳漏洞实验室发布漏洞通告。

点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:深信服千里目安全技术中心 深瞳漏洞实验室 深瞳漏洞实验室《【漏洞通告】Nginx UI MCP接口绕过认证漏洞(CVE-2026-33032)》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0