攻撃者がサーバーを完全に制御できるようにするNginx UIの重大な脆弱性が野生で悪用されています。
Nginx UI (nginx-ui)はNginx Webサーバーのウェブベースの管理インターフェースです。GitHubで11,000個の星を持ち、数十万のデプロイを管理するために使用される可能性があります。
このソフトウェアはCVE-2026-33032として追跡される脆弱性の影響を受けており、最近バージョン2.3.4でパッチが適用されました。この問題はNginx UIの最近追加されたAI(MCP)統合に関連しています。
脆弱性を3月にNginx UI開発者に責任を持って開示した研究者を擁するPluto Securityは、2,600以上のインターネットに露出したインスタンスを発見したと報告しました。
このセキュリティ企業は、認証されていない攻撃者がどのように特別に細工されたリクエストを使用してNginxサーバーを乗っ取るために脆弱性を悪用できるかを示しました。
技術的な詳細とPoC エクスプロイトコードが公開されています。
脅威インテリジェンス企業Recorded Futureは、CVE-2026-33032が2026年3月に野生で悪用されていると観察した31の高影響脆弱性の1つであったと報告しました。
ただし、これらの攻撃の性質に関する公開情報はないようです。
理論的には、脅威行為者はこの脆弱性を悪用してトラフィックをインターセプト、バックドアまたは悪意のあるリダイレクトをデプロイ、混乱を引き起こし、機密情報を盗むことができます。
「これは今年開示した2番目の重大なMCP脆弱性です。調整された開示でさらに多くがあります」とPlutoのセキュリティリサーチディレクターであるYotam Perkalは述べました。「パターンは一貫しています—AI統合エンドポイントはコアアプリケーションと同じ機能を公開していますが、しばしばそのセキュリティ制御をスキップしています。」
CVE-2026-33032は最近数ヶ月で開示されたNginx UIの唯一の脆弱性ではありません。ユーザーはまた、認証されていないバックアップデータダウンロード用に悪用される可能性があるCVE-2026-27944と、認証された攻撃者が他のユーザーのリソースにアクセス、変更、削除できるCVE-2026-33030についても警告されています。
翻訳元: https://www.securityweek.com/exploited-vulnerability-exposes-nginx-servers-to-hacking/
