Nginx - CVE-2026-33032
Date de publication :
Il s'agit d'une vulnérabilité dans le routage des endpoints MCP de Nginx UI.
Nginx UI est une interface web d'administration pour le serveur web Nginx. Elle permet la gestion graphique des configurations, des sites virtuels et du cycle de vie du processus Nginx sans édition manuelle de fichiers.
Le endpoint /mcp_message n'applique pas le middleware AuthRequired(), contrairement à /mcp. La whitelist IP est vide par défaut, rendant le middleware IPWhiteList() fail-open. Les deux endpoints routent vers le même handler mcp.ServeHTTP(), permettant l'invocation sans authentification d'outils critiques comme nginx_config_modify ou reload_nginx, un ajout de configuration déclenchant un rechargement automatique.
Elle permet à un attaquant réseau non authentifié de prendre le contrôle complet du service Nginx et d'intercepter le trafic en transit.
Informations
La faille est activement exploitée : Non
Un correctif existe : Non
Une mesure de contournement existe : Oui
• Contournement de la politique de sécurité
• Atteinte à la confidentialité des données
• Atteinte à l'intégrité des données
• Déni de service (à distance)
Exploitation
CWE-306 : Missing Authentication for Critical Function
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Une preuve de concept est disponible en sources ouvertes.
Systèmes ou composants affectés
Nginx UI versions 2.3.5 et antérieures
Contournement provisoire
• Restreindre l'accès au port d'écoute de Nginx UI (par défaut 9000) au seul réseau d'administration.