UNKNOWNCVE-2026-33032
CVE-2026-33032: Nginx UI 認証なしRCEの脆弱性 (重大度: CRITICAL)
プラットフォーム
go
コンポーネント
github.com/0xjacky/nginx-ui
CVE-2026-33032は、Nginx UIの/mcp_messageエンドポイントにおける認証不備に起因するリモートコード実行の脆弱性です。この脆弱性により、攻撃者は認証なしでNginxの設定変更や再起動などの操作を実行できます。影響を受けるバージョンは2.3.5以前です。現在、公式な修正パッチは公開されていません。
修正方法
修正されたバージョンが公開されたら、Nginx UIを2.3.5以降のバージョンにアップデートしてください。現在、利用可能なパッチはありませんので、ベンダーのセキュリティアップデートを監視することをお勧めします。
よくある質問
CVE-2026-33032とは何ですか?
Nginx UIの/mcp_messageエンドポイントに存在する、認証をバイパスしてリモートからコードを実行できる脆弱性です。
この脆弱性の影響を受けますか?
Nginx UIのバージョンが2.3.5以下の場合、影響を受ける可能性があります。特に、/mcp_messageエンドポイントを公開している場合は注意が必要です。
どのように修正または軽減できますか?
現時点では公式なパッチは提供されていません。IPホワイトリストの設定を厳格化するか、/mcp_messageエンドポイントへのアクセスを制限することを推奨します。