CyberSecureFox | Натрапив на історію, від якої в адміністраторів Nginx може смикнутись ...

🧨 Натрапив на історію, від якої в адміністраторів Nginx може смикнутись око. Є критична діра CVE-2026-33032 (MCPwn) в панелі nginx-ui, якій вже активно користуються в інтернеті.Суть: в інтеграції з MCP ендпоінт /mcp_message за замовчуванням працює як allow-all без автентифікації. Тобто будь-хто ззовні може зробити пару HTTP-запитів і отримати повний контроль над вашим Nginx: перезапускати сервіс, міняти конфіги, прокидати трафік через себе й тихо красти логіни, куки, платіжні дані 😬 За оцінкою CVSS 9.8 це практично відчинені двері.В інтернеті світиться близько 2,6K інсталяцій nginx-ui, і мені здається, для неоновлених це вже не ризик, а пожежа. Рішення просте: терміново оновитися до nginx-ui 2.3.4 або хоча б закрити доступ до панелі VPN/фаєрволом і навісити автентифікацію на /mcp_message 🔐 Як ви взагалі ставитесь до таких веб-адмінок — must have чи зайва дірка в периметрі? 🤔🔗 Докладніше:https://cybersecurefox.com/uk/kritychna-urazlyvist-nginx-ui-cve-2026-33032-mcpwn#cybersecurity #infosec #nginx #devops #mcp #vulnerabilitiesCyberSecureFox