nginx-ui(Nginxサーバを管理するための人気のあるウェブベースのインターフェース)を実行している管理者に対して、公開されているプルーフオブコンセプト(PoC)エクスプロイトが警報を鳴らしています。
CVE-2026-33026として追跡されているこの脆弱性は、アプリケーションのバックアップ復元メカニズムの重大な欠陥を露出させており、攻撃者がホストシステム上で任意のコマンドを実行できる可能性があります。
この欠陥は、nginx-uiが暗号化されたバックアップファイルを処理する方法における根本的な設計上の弱点に由来しています。
このアプリケーションはAES-CBC暗号化を使用してバックアップアーカイブを保護していますが、重大な誤りを犯しています。暗号化キーと初期化ベクトル(IV)をセキュリティトークンとしてクライアントに直接渡してしまうのです。
これは研究者が「循環信頼モデル」と呼ぶものを作成します。データを暗号化する同じキーが整合性メタデータも暗号化します。
クライアントがこのトークンを受け取るため、攻撃者もアクセスまたは操作できない信頼できる整合性ルートは存在しません。
この脆弱性は、セキュリティ研究者0xJackyによってGitHub Security Advisory(GHSA-fhh2-gg7w-gwpq)を通じて開示されました。
正当なバックアップを取得した攻撃者は、以下の単純な攻撃チェーンに従うことでCVE-2026-33026を悪用することができます。
復元プロセスは、攻撃者が制御するトークンを使用して生成された整合性メタデータを盲目的に信頼するため、ハッシュの不一致が存在していても、悪意のある構成が静かに適用されます。
改ざんされたデータのこの無制限の受け入れは、攻撃者が目に見える警告をトリガーすることなく、基盤となるホストマシン上で任意のコマンド実行を取得できることを意味します。
このエクスプロイトは静かに動作し、検出が極めて困難です。攻撃が成功すると、以下の結果につながる可能性があります。
管理者は直ちに以下のステップを実施することを強く勧められています。
公開されているNginxインフラストラクチャを管理する開発者とDevOpsチームは、任意のコマンド実行脆弱性がランサムウェアと持続的な脅威アクターの初期アクセスベクトルとなる可能性があることを踏まえて、これを重大な優先度のパッチとして扱うべきです。
翻訳元: https://cyberpress.org/public-poc-exploit-released-for-nginx-ui-backup-restore-vulnerability/