広く使用されているnginxサーバーを管理するためのオープンソースウェブインターフェースであるnginx-uiの重大な認証バイパスが、実際に悪用されています。
CVE-2026-33032として追跡されている脆弱性(CVSSスコア9.8)はPluto Securityによって発見され、ネットワーク隣接の攻撃者が単一の認証なしAPIリクエストを通じてnginxサーバーを完全に制御することを可能にします。
VulnCheckはこの欠陥をKnown Exploited Vulnerabilities (KEV)リストに追加しました。Recorded FutureのInsikt Groupは最近のレポートで独立してこれを2026年3月に悪用された31の高影響脆弱性の1つとしてフラグを立て、リスクスコア100点中94点を割り当てました。
欠落したミドルウェア、完全なアクセス
根本原因は単一の欠落した関数呼び出しに帰結します。nginx-uiは最近Model Context Protocol (MCP)のサポートを追加しました。これにより通信は2つのHTTPエンドポイント間で分割されます。
/mcpエンドポイント(接続確立に使用)はIPホワイトリストと認証ミドルウェアの両方を含んでいます。しかし、設定書き込みやサーバー再起動を含むすべてのツール呼び出しを処理するエンドポイントである/mcp_messageは、認証チェックなしで提供されました。
その省略により、12のMCPツールが認証されていない呼び出し元に公開されます。7つは破壊的で、攻撃者がnginx設定を注入し、サーバーをリロードしてそれを通過するすべてのトラフィックを傍受することを可能にします。残りの5つは既存の設定を読み取り、バックエンドインフラストラクチャをマッピングするなどの偵察機能を提供します。
MCPに焦点を当てた攻撃について詳しく読む:数百のMCPサーバーがRCEとデータ漏洩のリスクにさらされている
数千のインスタンスが危機にさらされている
Pluto Securityの研究者は、Shodanを使用して、Alibaba Cloud、Oracle、Tencentを含むクラウドプロバイダー全体で公開可能な2,600以上のnginx-uiインスタンスを特定したと述べています。
ほとんどがデフォルトポート9000で実行されていました。このツールのDockerイメージは430,000回以上プルされており、ファイアウォール内にある潜在的に脆弱な展開のはるかに大きな母集団を示唆しています。
nginx-uiメンテナーは開示の1日後にバージョン2.3.4のパッチをリリースしました。修正は27文字の追加コード、および同じ見落としが再発するのを防ぐためのリグレッションテストから構成されていました。MCPが有効になっているnginx-uiを実行している組織は、すぐに行動を取るべきです。
-
バージョン2.3.4以降に更新する
-
パッチが適用できない場合は、MCP機能を完全に無効にする
-
管理インターフェースへのネットワークアクセスを制限する
-
不正な変更についてサーバーログと設定ディレクトリを確認する
これはPluto Securityが最近数週間に開示した2番目のMCP脆弱性で、Atlassian MCPサーバー内のSSRF-to-RCEチェーンであるMCPwnfluenceに続きます。
どちらのケースも繰り返される弱点を公開しています。MCPが既存のアプリケーションに接続されている場合、そのエンドポイントはしばしば完全な機能を継承しますが、セキュリティコントロールは継承しません。
翻訳元: https://www.infosecurity-magazine.com/news/nginx-ui-mcp-flaw-actively/
