Vulnerabilidades críticas en Nginx UI 2026
Vulnerabilidad crítica - 10/03
Introducción
CVE-2026-27944 es una vulnerabilidad crítica que afecta a Nginx UI, una interfaz web utilizada para administrar servidores Nginx mediante un panel gráfico y se debe a la ausencia de autenticación en una función crítica del sistema, concretamente en el endpoint de API /api/backup. Un atacante remoto puede acceder a este endpoint sin necesidad de autenticarse y descargar una copia de seguridad completa del sistema. Además, la respuesta del servidor incluye en los encabezados HTTP la información necesaria para descifrar el backup (clave AES y vector de inicialización), lo que permite recuperar el contenido en texto claro. Esta vulnerabilidad no afecta directamente a Nginx como servidor, sino únicamente a la capa de administración proporcionada por Nginx UI.
Análisis
CVE-2026-27944 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9,8
CVE-2026-27944 se produce debido a una falla en el control de autenticación del endpoint de generación de backups de Nginx UI. En condiciones normales, la creación y descarga de copias de seguridad debería estar restringida únicamente a usuarios autenticados, de manera que solo administradores autorizados puedan acceder a los datos.
En las versiones afectadas, el endpoint /api/backup no verifica la identidad del solicitante, permitiendo que cualquier usuario, incluso no autenticado, pueda solicitar un backup del sistema. Al mismo tiempo, el servidor cifra el archivo de respaldo usando AES, pero envía la clave y el vector de inicialización (IV) necesarios para descifrarlo dentro de los encabezados de la respuesta HTTP. Esto hace que el cifrado no funcione adecuadamente, ya que un atacante puede descargar el backup y descifrarlo de inmediato con la información proporcionada por el servidor.
Como consecuencia, un atacante remoto puede acceder a copias de seguridad completas que contienen información altamente sensible, incluyendo credenciales de usuarios, tokens de sesión, configuraciones del servidor, certificados TLS y claves privadas.
Versiones afectadas
Todas las versiones anteriores a 2.3.3.
Recomendaciones
- Instalar la versión 2.3.3 o superior de Nginx UI, que corrige la vulnerabilidad
- Verificar que la actualización se haya aplicado correctamente y que el endpoint /api/backup requiera autenticación
Workarounds
No hay workarounds para esta vulnerabilidad.
Referencias
- https://github.com/0xJacky/nginx-ui/security/advisories/GHSA-g9w5-qffc-6762
- https://www.cert.gov.py/vulnerabilidad-en-productos-nginx/
- https://securityaffairs.com/189123/security/critical-nginx-ui-flaw-cve-2026-27944-exposes-server-backups.html
Vulnerabilidad crítica - 16/04
Introducción
CVE-2026-33032, que afecta a la interfaz de administración web nginx-ui, consiste en un bypass de autenticación que permite a un atacante remoto ejecutar acciones administrativas sin necesidad de credenciales válidas, lo que lo convierte en un riesgo especialmente elevado en entornos expuestos a Internet.
El origen del problema se encuentra en la implementación del Model Context Protocol (MCP) dentro de nginx-ui. Aunque uno de los endpoints asociados a esta funcionalidad requiere autenticación, existe otro endpoint, concretamente “/mcp_message”, que carece de controles adecuados. Este endpoint se basa únicamente en un mecanismo de lista de control de acceso por direcciones IP, pero debido a una configuración por defecto permisiva en la que una lista vacía se interpreta como acceso permitido, cualquier origen puede interactuar con él sin restricciones. Como consecuencia, un atacante puede enviar peticiones especialmente diseñadas a dicho endpoint y ejecutar comandos administrativos directamente sobre el servidor.
Esta vulnerabilidad está siendo activamente explotada.
Análisis
CVE-2026-33032 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9,8
El funcionamiento de la vulnerabilidad está ligado a la implementación del Model Context Protocol (MCP), una funcionalidad incorporada en nginx-ui para facilitar la gestión y automatización de tareas. Dentro de esta integración existen múltiples endpoints, algunos de los cuales están correctamente protegidos mediante autenticación. Sin embargo, el endpoint “/mcp_message” presenta un comportamiento inconsistente, ya que no exige autenticación y delega el control de acceso en una lista de direcciones IP permitidas.
El fallo se produce porque dicha lista de control está vacía por defecto y la lógica de la aplicación interpreta esta condición como “permitir todas las direcciones”. Como resultado, cualquier cliente que tenga conectividad de red con el servicio puede enviar solicitudes directamente a este endpoint sin necesidad de credenciales válidas. Este comportamiento equivale, en la práctica, a la exposición pública de una interfaz administrativa sin protección.
Desde el punto de vista operativo, un atacante únicamente necesita identificar una instancia accesible de nginx-ui y enviar peticiones HTTP específicamente construidas al endpoint vulnerable. Estas peticiones pueden incluir instrucciones MCP que son procesadas por el servidor con privilegios elevados, lo que permite ejecutar acciones administrativas de forma remota. No se requiere interacción del usuario ni explotación de memoria o técnicas avanzadas, lo que reduce significativamente la complejidad del ataque.
El flujo de explotación puede describirse como una interacción directa con la API interna de gestión, en la que el atacante omite completamente el proceso de autenticación y accede a funciones críticas. Esto incluye la modificación de configuraciones del servidor web, la manipulación de servicios gestionados por Nginx y, potencialmente, la ejecución de acciones que afectan a la confidencialidad, integridad y disponibilidad del sistema.
Versiones afectadas
La vulnerabilidad afecta a todas las versiones de nginx-ui anteriores a la 2.3.3, en las cuales el endpoint vulnerable carece de controles de autenticación adecuados.
Recomendaciones
La versión 2.3.3 introduce la corrección oficial del fallo, por lo que se recomienda actualizar como mínimo a dicha versión o superior para mitigar el riesgo.
Workarounds
No hay workarounds para esta vulnerabilidad.
Referencias
- https://github.com/0xJacky/nginx-ui/security/advisories/GHSA-h6c2-x2m2-mwhf
- https://www.securityweek.com/exploited-vulnerability-exposes-nginx-servers-to-hacking/amp/
- https://securityaffairs.com/190841/hacking/cve-2026-33032-severe-nginx-ui-bug-grants-unauthenticated-server-access.html
- https://thehackernews.com/2026/04/critical-nginx-ui-vulnerability-cve.html