UNKNOWNCVE-2026-33032
CVE-2026-33032:Nginx UI <=2.3.5 未授权访问漏洞
平台
go
组件
github.com/0xjacky/nginx-ui
CVE-2026-33032 是 Nginx UI 中的一个未授权访问漏洞。由于 /mcp_message 端点仅应用 IP 白名单,且默认 IP 白名单为空,导致任何网络攻击者都可以在未经身份验证的情况下调用所有 MCP 工具,包括重启 Nginx、创建/修改/删除 Nginx 配置文件等。受影响的版本包括 2.3.5 及更早版本。目前没有可用的官方补丁。
修复方法
将 Nginx UI 更新到 2.3.5 之后的版本,一旦发布了修复版本。目前没有可用的补丁,因此建议监视供应商的安全更新。
常见问题
CVE-2026-33032 是什么?
CVE-2026-33032 是 Nginx UI 中的一个未授权访问漏洞,允许未经身份验证的攻击者调用所有 MCP 工具。
我是否受到 CVE-2026-33032 的影响?
如果您正在使用 Nginx UI 的 2.3.5 或更早版本,则您容易受到此漏洞的攻击。
如何修复 CVE-2026-33032?
目前没有可用的官方补丁。建议限制对 Nginx UI 的访问,并监控可疑活动。