nginx-ui (CVE-2026-33026): バックアップ復元時の脆弱性

CVE-2026-33026 は、github.com/0xJacky/Nginx-UI に含まれる nginx-ui Backup Restore 機能における脆弱性です。この脆弱性は、攻撃者が暗号化されたバックアップファイルを改ざんすることを可能にします。具体的には、nginx-ui を使用して作成されたバックアップファイルが、不正な設定や悪意のあるコードを含んだ状態で復元される可能性があります。攻撃者は、この改ざんされたバックアップを利用して、nginx サーバーの設定を書き換えたり、機密情報を盗み出したり、さらにはサーバーを完全に制御したりする可能性があります。影響範囲は、nginx サーバーがホストするアプリケーションやサービスに依存しますが、ウェブサイトの改ざん、データ漏洩、サービス停止といった深刻な被害が発生する可能性があります。特に、nginx サーバーが機密情報を扱う場合や、重要な業務アプリケーションをホストしている場合は、この脆弱性の影響は甚大です。攻撃者は、nginx-ui のバックアップ機能を利用して、nginx サーバーの管理権限を奪取し、その後の攻撃を容易に進めることが考えられます。

Organizations using Nginx-UI for managing their Nginx configurations are at risk, particularly those relying on the backup and restore functionality for disaster recovery. Shared hosting environments where multiple users share the same Nginx-UI instance are especially vulnerable, as an attacker could potentially compromise backups belonging to other users.

• go / server:

find /opt/nginx-ui/ -name '*.bak' -type f -print0 | xargs -0 sha256sum

• go / server:

journalctl -u nginx-ui -f | grep "backup_restore"

• generic web: Check the Nginx-UI configuration for any unusual or unexpected settings related to backup locations or encryption keys.

1. 2026-04-02Disclosure

   disclosure

1. 予約済み2026-03-17
2. 公開日2026-04-02
3. EPSS 更新日2026-04-07

この脆弱性に対処するためには、nginx-ui をバージョン 2.3.4 以降にアップデートすることを強く推奨します。アップデートが直ちに実行できない場合は、nginx-ui のバックアップ機能の使用を一時的に停止するか、バックアップファイルの整合性を厳重に検証するなどの代替策を講じる必要があります。バックアップファイルの復元前に、必ず元のバックアップファイルと比較し、改ざんされていないことを確認してください。また、バックアップファイルの保存場所へのアクセス制御を強化し、不正アクセスを防止することも重要です。アップデート適用後、nginx サーバーの再起動が必要となる場合があります。アップデート適用後、nginx サーバーが正常に動作していることを確認し、バックアップ機能が正常に動作することを確認してください。バージョンアップの際には、事前にテスト環境で動作検証を行うことを推奨します。