Plateforme
nginx
Composant
nginx-ui
Corrigé dans
2.3.4
La vulnérabilité CVE-2026-33030 affecte github.com/0xJacky/nginx-ui et se manifeste par le stockage non chiffré de tokens d'API DNS et de clés privées ACME. Cela peut permettre à un attaquant d'accéder à des informations sensibles. Aucune solution n'est actuellement disponible pour corriger cette vulnérabilité.
La vulnérabilité CVE-2026-33030 affecte nginx-UI, plus précisément l'implémentation trouvée sur github.com/0xJacky/nginx-ui. Le problème réside dans le stockage non chiffré des jetons de l'API DNS et des clés privées ACME. Cela signifie qu'un attaquant ayant accès au système de fichiers où la configuration de nginx-UI est stockée peut obtenir ces jetons et clés, compromettant la sécurité de la configuration DNS et la sécurité des certificats SSL/TLS. Le score CVSS de 8.8 indique un risque élevé, car l'exploitation pourrait permettre à un attaquant de prendre le contrôle de la configuration DNS, de rediriger le trafic vers des sites malveillants ou de compromettre l'infrastructure sous-jacente. L'absence de correctif connu aggrave la situation, nécessitant une évaluation minutieuse et des mesures d'atténuation immédiates.
L'exploitation de CVE-2026-33030 nécessite un accès au système de fichiers où nginx-UI stocke sa configuration. Cela pourrait être réalisé par le biais d'une violation de la sécurité du système d'exploitation, d'une vulnérabilité dans un autre logiciel ou d'un accès physique au serveur. Une fois que l'attaquant a accès, il peut simplement lire les fichiers de configuration pour obtenir les jetons de l'API DNS et les clés privées ACME. L'absence de chiffrement signifie que ces données sont stockées en texte clair, ce qui facilite leur extraction. La gravité de l'exploitation réside dans le potentiel de compromettre la configuration DNS et les certificats SSL/TLS, ce qui pourrait avoir des conséquences importantes pour la disponibilité et la sécurité des services web.
Organizations deploying nginx-UI in production environments, particularly those relying on automated DNS management or Let's Encrypt certificates, are at significant risk. Shared hosting environments where multiple users share the same server resources are especially vulnerable, as a compromise of one user's nginx-UI instance could expose the credentials of others.
• linux / server:
find /var/lib/nginx-ui/ -name '*.conf' -print0 | xargs -0 grep -i 'dns_api_token' # Check for unencrypted tokens
find /var/lib/nginx-ui/ -name '*.key' -print0 | xargs -0 grep -i 'acme_private_key' # Check for unencrypted keys• generic web:
curl -I http://<nginx-ui-host>/config.json # Check for exposed configuration filedisclosure
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
CISA SSVC
Vecteur CVSS
Étant donné qu'il n'existe pas de correctif officiel pour CVE-2026-33030, l'atténuation se concentre sur la réduction de la surface d'attaque et la protection des données sensibles. L'étape la plus critique est de restreindre l'accès au système de fichiers où la configuration de nginx-UI est stockée. La mise en œuvre de contrôles d'accès stricts, tels que le principe du moindre privilège, est fondamentale. Nous recommandons vivement de déplacer la configuration de nginx-UI vers un stockage sécurisé et chiffré, en dehors des systèmes de fichiers directement accessibles. De plus, surveillez l'activité du système à la recherche d'accès non autorisés et envisagez des alternatives à nginx-UI qui offrent un stockage plus sécurisé des informations d'identification. Les audits réguliers de la configuration et l'application de correctifs de sécurité pour le système d'exploitation et les autres dépendances sont également essentiels.
Actualice Nginx UI a la versión 2.3.4 o superior para mitigar la vulnerabilidad IDOR. Esta actualización aborda la falta de verificación de la propiedad del usuario en los puntos finales de los recursos, previniendo el acceso no autorizado a los datos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
ACME (Automated Certificate Management Environment) est un protocole pour automatiser l'émission et le renouvellement des certificats SSL/TLS.
Les clés privées ACME sont utilisées pour prouver la propriété d'un domaine à une autorité de certification. Si un attaquant obtient cette clé, il peut générer des certificats SSL/TLS frauduleux pour le domaine, ce qui permet de lancer des attaques de 'man-in-the-middle'.
Si vous utilisez déjà nginx-UI, mettez en œuvre les mesures d'atténuation décrites ci-dessus, en particulier en restreignant l'accès au système de fichiers et en envisageant des alternatives plus sûres.
Il existe plusieurs alternatives à nginx-UI, telles que des panneaux de contrôle Nginx plus traditionnels ou des solutions de gestion de configuration basées sur du code. Recherchez et choisissez une option qui offre un stockage plus sécurisé des informations d'identification.
Mettez en œuvre un système d'enregistrement et de surveillance qui suit l'accès aux fichiers de configuration de nginx-UI. Configurez des alertes pour détecter toute activité suspecte.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.