Vulnerabilidades críticas en Nginx UI 2026
Vulnerabilidad crítica - 10/03
Introducción
CVE-2026-27944 es una vulnerabilidad crítica que afecta a Nginx UI, una interfaz web utilizada para administrar servidores Nginx mediante un panel gráfico y se debe a la ausencia de autenticación en una función crítica del sistema, concretamente en el endpoint de API /api/backup. Un atacante remoto puede acceder a este endpoint sin necesidad de autenticarse y descargar una copia de seguridad completa del sistema. Además, la respuesta del servidor incluye en los encabezados HTTP la información necesaria para descifrar el backup (clave AES y vector de inicialización), lo que permite recuperar el contenido en texto claro. Esta vulnerabilidad no afecta directamente a Nginx como servidor, sino únicamente a la capa de administración proporcionada por Nginx UI.
Análisis
CVE-2026-27944 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9,8
CVE-2026-27944 se produce debido a una falla en el control de autenticación del endpoint de generación de backups de Nginx UI. En condiciones normales, la creación y descarga de copias de seguridad debería estar restringida únicamente a usuarios autenticados, de manera que solo administradores autorizados puedan acceder a los datos.
En las versiones afectadas, el endpoint /api/backup no verifica la identidad del solicitante, permitiendo que cualquier usuario, incluso no autenticado, pueda solicitar un backup del sistema. Al mismo tiempo, el servidor cifra el archivo de respaldo usando AES, pero envía la clave y el vector de inicialización (IV) necesarios para descifrarlo dentro de los encabezados de la respuesta HTTP. Esto hace que el cifrado no funcione adecuadamente, ya que un atacante puede descargar el backup y descifrarlo de inmediato con la información proporcionada por el servidor.
Como consecuencia, un atacante remoto puede acceder a copias de seguridad completas que contienen información altamente sensible, incluyendo credenciales de usuarios, tokens de sesión, configuraciones del servidor, certificados TLS y claves privadas.
Versiones afectadas
Todas las versiones anteriores a 2.3.3.
Recomendaciones
- Instalar la versión 2.3.3 o superior de Nginx UI, que corrige la vulnerabilidad
- Verificar que la actualización se haya aplicado correctamente y que el endpoint /api/backup requiera autenticación
Workarounds
No hay workarounds para esta vulnerabilidad.