प्लेटफ़ॉर्म
go
घटक
github.com/0xjacky/nginx-ui
में ठीक किया गया
2.3.5
1.9.10
CVE-2026-33026, github.com/0xJacky/Nginx-UI में एक भेद्यता है जो एन्क्रिप्टेड बैकअप के साथ छेड़छाड़ की अनुमति देती है। इस भेद्यता का फायदा उठाकर, हमलावर संवेदनशील डेटा से समझौता कर सकते हैं। यह भेद्यता github.com/0xJacky/Nginx-UI के प्रभावित संस्करणों को प्रभावित करती है। संस्करण 2.3.4 में एक फिक्स उपलब्ध है।
CVE-2026-33026 एक गंभीर भेद्यता है जो github.com/0xJacky/Nginx-UI में nginx-ui बैकअप और पुनर्स्थापना कार्यक्षमता में पाई गई है। यह भेद्यता हमलावर को एन्क्रिप्टेड बैकअप फ़ाइलों के साथ छेड़छाड़ करने की अनुमति देती है। इसका मतलब है कि हमलावर बैकअप फ़ाइल को संशोधित कर सकता है, जिससे पुनर्स्थापित होने पर nginx कॉन्फ़िगरेशन में दुर्भावनापूर्ण परिवर्तन हो सकते हैं। संभावित हमलों में वेब सर्वर के कॉन्फ़िगरेशन को बदलना शामिल है, जिससे हमलावर संवेदनशील डेटा तक पहुंच प्राप्त कर सकता है, जैसे कि API कुंजियाँ, डेटाबेस क्रेडेंशियल, या अन्य गोपनीय जानकारी। इसके अतिरिक्त, हमलावर वेब सर्वर को दुर्भावनापूर्ण सामग्री प्रदर्शित करने या अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए पुनर्निर्देशित कर सकता है। इस भेद्यता का प्रभाव व्यापक हो सकता है, क्योंकि यह nginx सर्वर के सभी उपयोगकर्ताओं को प्रभावित कर सकता है जो nginx-ui का उपयोग कर रहे हैं और बैकअप और पुनर्स्थापना सुविधा का उपयोग कर रहे हैं। चूंकि बैकअप एन्क्रिप्टेड होने के बावजूद भी छेड़छाड़ की जा सकती है, इसलिए यह सुरक्षा नियंत्रणों को दरकिनार करने का एक महत्वपूर्ण जोखिम प्रस्तुत करता है। इस भेद्यता का उपयोग करके हमलावर nginx सर्वर के संचालन को गंभीर रूप से बाधित कर सकता है, जिससे सेवा से इनकार (DoS) की स्थिति उत्पन्न हो सकती है या डेटा उल्लंघन हो सकता है।
वर्तमान में, CVE-2026-33026 के लिए कोई सार्वजनिक शोषण रिपोर्ट उपलब्ध नहीं हैं (KEV)। इसका मतलब है कि इस भेद्यता का सक्रिय रूप से शोषण करने के लिए कोई ज्ञात सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (POC) नहीं है। हालांकि, भेद्यता की गंभीरता (CRITICAL) और संभावित प्रभाव को देखते हुए, यह संभावना है कि हमलावर इस भेद्यता का शोषण करने के तरीके की खोज कर रहे होंगे। इसलिए, इस भेद्यता को जल्द से जल्द ठीक करना महत्वपूर्ण है। सार्वजनिक शोषण की अनुपस्थिति का मतलब यह नहीं है कि भेद्यता सुरक्षित है। हमलावर हमेशा नए शोषण विकसित कर सकते हैं, इसलिए नवीनतम सुरक्षा पैच के साथ सिस्टम को अद्यतित रखना महत्वपूर्ण है। इस भेद्यता की गंभीरता को देखते हुए, तत्काल कार्रवाई की सिफारिश की जाती है।
Organizations using Nginx-UI for managing their Nginx configurations are at risk, particularly those relying on the backup and restore functionality for disaster recovery. Shared hosting environments where multiple users share the same Nginx-UI instance are especially vulnerable, as an attacker could potentially compromise backups belonging to other users.
• go / server:
find /opt/nginx-ui/ -name '*.bak' -type f -print0 | xargs -0 sha256sum• go / server:
journalctl -u nginx-ui -f | grep "backup_restore"• generic web: Check the Nginx-UI configuration for any unusual or unexpected settings related to backup locations or encryption keys.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (2% शतमक)
CISA SSVC
CVE-2026-33026 को ठीक करने का सबसे प्रभावी तरीका nginx-ui को संस्करण 2.3.4 या उससे ऊपर के संस्करण में अपग्रेड करना है। यह संस्करण भेद्यता को संबोधित करने वाला पैच शामिल करता है। यदि अपग्रेड तुरंत संभव नहीं है, तो एक अस्थायी समाधान के रूप में, nginx-ui बैकअप और पुनर्स्थापना सुविधा को अक्षम करने पर विचार करें। हालांकि, यह ध्यान रखना महत्वपूर्ण है कि इससे बैकअप और पुनर्स्थापना की क्षमता का नुकसान होगा। अपग्रेड करने के बाद, यह सत्यापित करना महत्वपूर्ण है कि nginx-ui ठीक से काम कर रहा है और बैकअप और पुनर्स्थापना कार्यक्षमता अपेक्षित रूप से काम कर रही है। यह सुनिश्चित करने के लिए कि पैच सफलतापूर्वक लागू किया गया है, nginx-ui के नवीनतम संस्करण के साथ बैकअप और पुनर्स्थापना का परीक्षण करें। अपग्रेड प्रक्रिया को सावधानीपूर्वक योजनाबद्ध और निष्पादित किया जाना चाहिए ताकि nginx सर्वर के संचालन में व्यवधान को कम किया जा सके। अपग्रेड से पहले, मौजूदा बैकअप का बैकअप लेना सुनिश्चित करें।
Actualice nginx-ui a la versión 2.3.4 o posterior. Esta versión corrige la vulnerabilidad que permite la manipulación de copias de seguridad cifradas y la inyección de configuraciones maliciosas durante la restauración.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-33026 github.com/0xJacky/Nginx-UI में nginx-ui बैकअप और पुनर्स्थापना कार्यक्षमता में पाई गई एक गंभीर भेद्यता है जो हमलावर को एन्क्रिप्टेड बैकअप फ़ाइलों के साथ छेड़छाड़ करने की अनुमति देती है।
यदि आप nginx-ui का उपयोग कर रहे हैं और nginx के संस्करण 2.3.4 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हो सकते हैं।
CVE-2026-33026 को ठीक करने के लिए nginx-ui को संस्करण 2.3.4 या उससे ऊपर के संस्करण में अपग्रेड करें।
वर्तमान में, CVE-2026-33026 के लिए कोई सार्वजनिक शोषण रिपोर्ट उपलब्ध नहीं हैं, लेकिन इसकी गंभीरता को देखते हुए, तत्काल कार्रवाई की सिफारिश की जाती है।
आप NVD (National Vulnerability Database) पर अधिक जानकारी प्राप्त कर सकते हैं: [https://nvd.nist.gov/vuln/detail/CVE-2026-33026](https://nvd.nist.gov/vuln/detail/CVE-2026-33026)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।