文章总结： CVE-2026-33032是nginx-ui项目中MCP协议端点的认证绕过漏洞（CVSS9.8），因默认IP白名单为空导致攻击者无需凭据即可调用全部MCP工具，实现Nginx服务器完全接管。漏洞已被野外利用，主要影响中国地区暴露实例。关键发现包括攻击链仅需两个HTTP请求、可导致配置篡改与横向渗透。可操作建议包括升级至2.3.4版本、配置IP白名单或禁用MCP功能。 综合评分： 87 文章分类： 漏洞分析,威胁情报,解决方案,网络安全,应用安全

CVE-2026-33032 深度分析：nginx-ui MCP端点认证绕过导致 Nginx 服务器完全接管

原创

威胁情报中心 威胁情报中心

奇安信威胁情报中心

2026年4月16日 11:52 北京

在小说阅读器读本章

去阅读

事件概述

nginx-ui 项目（一个开源的基于 Web 的 Nginx 管理界面）被披露存在严重安全漏洞 CVE-2026-33032（CVSS 9.8），该漏洞已被野外积极利用。Pluto Security 安全研究人员将此漏洞命名为 MCPwn。

漏洞根源在于 nginx-ui 集成的 Model Context Protocol（MCP） 协议端点存在安全设计缺陷：部分端点绕过了应用原有的身份验证机制，攻击者可在无需任何凭据的情况下调用所有 MCP 工具，实现对目标 Nginx 服务器的完全控制。

Recorded Future 在本周发布的威胁情报报告中，将 CVE-2026-33032 列为 2026 年 3 月已被威胁行为体野外利用的 31 个高危漏洞 之一。

漏洞技术分析

漏洞详情

| 属性 | 值 | | — | — | | CVE 编号 | CVE-2026-33032 | | CVSS 评分 | 9.8（严重） | | 漏洞类型 | 认证绕过 | | 影响组件 | nginx-ui MCP 集成模块 | | 影响版本 | < 2.3.4 | | 已修复版本 | 2.3.4（2026年3月15日发布） |

根因分析

nginx-ui 在最近版本中引入了 MCP（Model Context Protocol）集成功能，该功能暴露了两个 HTTP 端点：

1. /mcp 端点：同时应用 IP 白名单和身份验证（AuthRequired() 中间件）

2. /mcp_message 端点：仅应用 IP 白名单，不强制身份验证

问题在于 IP 白名单的默认配置为空。根据 nginx-ui 中间件的实现逻辑，空白名单被视为”允许所有”（allow-all）。

这一安全设计缺陷导致的后果：

/mcp 端点：IP 白名单验证 + 身份验证 = 安全
/mcp_message 端点：IP 白名单验证（默认空=允许所有）= 无认证

攻击者只需绕过 IP 白名单限制（默认配置下无需绕过），即可绕过所有身份验证机制，直接调用具备完整权限的 MCP 工具。

MCP 协议的系统性风险

Pluto Security 安全研究员 Yotam Perkal 指出：

“将 MCP 附加到现有应用程序时，MCP 端点继承应用程序的全部功能，但不一定继承其安全控制。结果是产生一个后门，绕过应用程序精心构建的所有身份验证机制。”

这一风险并非 nginx-ui 独有。MCP 协议作为新兴的 AI Agent 交互协议，正在被大量应用集成。其设计哲学强调功能扩展性和 Agent 可控性，但在安全架构设计上与现有应用的安全模型存在脱节。

攻击链与利用方式

利用条件

• 目标运行存在漏洞的 nginx-ui 版本（< 2.3.4）
• MCP 功能未被禁用
• 攻击者能够向目标服务器发送 HTTP 请求（网络可达性）

攻击流程

攻击者可在 数秒内 完成完整接管，攻击链条仅需 两个 HTTP 请求：

第一步：建立会话

GET /mcp HTTP/1.1
Host: <target>

服务端响应中包含会话 ID（session ID）。

第二步：调用 MCP 工具

POST /mcp_message HTTP/1.1
Host: <target>
Content-Type: application/json

{
&nbsp; "session_id": "<obtained_session_id>",
&nbsp; "tool": "<any_mcp_tool>",
&nbsp; "params": {}
}

通过会话 ID，攻击者可调用任意 MCP 工具，包括：

• 重启 Nginx 服务
• 创建/修改/删除 Nginx 配置文件
• 触发自动配置重载
• 读取服务器敏感信息

攻击影响

成功利用后，攻击者可：

1. 服务完全接管：修改 Nginx 配置，实现恶意重定向或服务中断

2. 流量拦截：配置反向代理，窃听所有入站流量

3. 凭据窃取：获取管理员凭据及经由 Nginx 的用户会话

4. 持久化部署：在服务器部署后门程序

5. 横向移动：以 Nginx 服务器为跳板，渗透内网

威胁态势评估

暴露面分析

根据 Shodan 扫描数据：

| 指标 | 数值 | | — | — | | 互联网暴露实例数 | 约 2,689 | | 中国暴露数量 | 最多 | | 其他主要地区 | 美国、印度尼西亚、德国、香港 |

国内暴露情况尤其值得重视。中国是 nginx-ui 暴露实例最多的国家，考虑到 nginx-ui 多用于 Web 服务器管理场景，这些实例一旦被攻陷，攻击者即可横向渗透至托管在该 Nginx 服务器上的各类业务系统。

威胁行为体归因

目前尚无明确归因信息。Recorded Future 确认该漏洞在 2026 年 3 月存在野外利用活动，但具体利用来源尚未披露。

从攻击动机分析，以下威胁行为体可能对该漏洞感兴趣：

• 勒索软件运营组织：通过接管 Web 服务器加密业务数据或作为渗透入口
• APT 组织：用于供应链攻陷或目标网络渗透
• 僵尸网络运营者：扩充僵尸集群
• 黑客活动主义者：用于服务中断或政治目的

漏洞利用时间线

| 时间节点 | 事件 | | — | — | | 2026年3月 | Pluto Security 向 nginx-ui 开发者负责任披露漏洞 | | 2026年3月15日 | 版本 2.3.4 发布，修复漏洞 | | 2026年3月 | Recorded Future 确认该漏洞已被野外利用 | | 2026年4月 | 漏洞细节公开披露 |

从漏洞修复到公开披露存在约一个月的窗口期，在此期间攻击者可能已加速利用。

关联漏洞分析：MCPwnfluence

Pluto Security 团队同期还发现了 Atlassian MCP 服务器（mcp-atlassian）的两个安全漏洞，可链接利用实现远程代码执行，命名为 MCPwnfluence：

| CVE 编号 | CVSS | 描述 | | — | — | — | | CVE-2026-27825 | 9.1 | Atlassian MCP 服务器认证绕过 | | CVE-2026-27826 | 8.2 | Atlassian MCP 服务器请求重定向 |

攻击者位于同一局域网即可：

1. 向 MCP 发送请求（无需认证）

2. 重定向服务器至攻击者控制的机器

3. 上传恶意附件

4. 实现完全无认证的远程代码执行

MCPwn 与 MCPwnfluence 的并行发现揭示了一个系统性风险：MCP 协议的快速采用正在引入大量新的攻击面。这些漏洞模式高度相似——MCP 端点继承应用功能但绕过安全控制。

防护建议

紧急处置（立即执行）

1. 版本升级：将 nginx-ui 升级至 2.3.4 或更高版本

2. 临时缓解：若无法立即升级：

• 禁用 MCP 功能

• 配置严格的 IP 白名单限制

• 添加 middleware.AuthRequired() 至 /mcp_message 端点

• 修改 IP 白名单默认行为从 “allow-all” 改为 “deny-all”

3. 网络访问控制：

• 限制对 nginx-ui 管理界面的网络访问

• 禁止公网暴露 nginx-ui 实例

• 对管理端点实施强制的 VPN 或零信任访问

持续监测

1. 部署 WAF 规则检测异常的 MCP 请求
2. 监控 Nginx 配置文件的非授权修改
3. 建立配置变更审计机制
4. 关注 MCP 协议相关的新兴漏洞情报

供应链安全

鉴于 MCP 协议正在被广泛集成至各类应用，建议：

• 对引入 MCP 集成的应用进行专项安全评估
• 在 CI/CD 流程中加入 MCP 端点安全测试
• 关注 MCP 协议的安全研究报告和厂商公告

MITRE ATT&CK 技术映射

| 技术 ID | 技术名称 | 关联说明 | | — | — | — | | T1190 | 利用公开应用漏洞 | 通过 CVE-2026-33032 攻陷 nginx-ui | | T1078 | 有效账户 | 绕过身份验证访问 MCP 端点 | | T1021 | 远程服务利用 | 通过 Nginx 实现远程访问 | | T1552 | 未保护凭证 | 窃取管理员凭据和会话 | | T1106 | Ingress Tool Transfer | 利用 MCP 工具执行恶意操作 | | T1569 | 系统服务执行 | 重启 Nginx 服务实现持久化 |

#

奇安信威胁情报研判

CVE-2026-33032 是 MCP 协议安全风险的一个典型案例。MCP 作为 AI Agent 时代的核心交互协议，其设计优先级在于功能扩展性和 Agent 友好性，安全架构设计相对滞后。随着 MCP 被大量应用集成，预计未来将出现更多类似漏洞。

对国内影响评估：

1. 高暴露风险：国内 nginx-ui 暴露实例数量居全球首位，面临较大的攻击面

2. 关键基础设施关联：Nginx 作为主流 Web 服务器，大量部署于企业官网、API 网关、CDN 节点等场景

3. 横向渗透风险：攻陷 nginx-ui 可作为内网横向移动的跳板

4. APT 利用可能性：考虑到该漏洞的利用便捷性（两个 HTTP 请求即可完成攻击），APT 组织极有可能已将此漏洞纳入武器库

建议：国内企业应将 nginx-ui 版本升级列为紧急事项，同时对内部使用的 MCP 集成应用进行全面安全排查。

参考来源

[1].https://thehackernews.com/2026/04/critical-nginx-ui-vulnerability-cve.html

[2].https://www.securityweek.com/hackers-exploiting-vulnerability-to-hijack-nginx-servers/

点击阅读原文至ALPHA 9.01

即刻助力威胁研判

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：奇安信威胁情报中心 威胁情报中心 威胁情报中心《CVE-2026-33032 深度分析：nginx-ui MCP端点认证绕过导致 Nginx 服务器完全接管》