Nginx UI: Unauthenticated MCP Endpoint Allows Remote Nginx Takeover

Nginx UI is een web user interface (web gebruikersinterface) voor de Nginx web server. In versies 2.3.5 en eerder, stelt de nginx-ui MCP (Model Context Protocol) integratie twee HTTP endpoints (HTTP eindpunten) bloot: /mcp en /mcp_message. Terwijl /mcp zowel IP whitelisting (IP-adres whitelisting) als authenticatie (AuthRequired() middleware) vereist, past het /mcp_message endpoint alleen IP whitelisting toe - en de standaard IP whitelist is leeg, wat de middleware behandelt als "allow all". Dit betekent dat elke netwerkaanvaller alle MCP tools kan aanroepen zonder authenticatie, inclusief het herstarten van nginx, het maken/wijzigen/verwijderen van nginx configuratiebestanden, en het activeren van automatische config reloads - waardoor de volledige nginx service kan worden overgenomen. Op het moment van publicatie zijn er geen publiekelijk beschikbare patches.