- A vulnerabilidade CVE-2026-33032 afeta o nginx-ui, tem CVSS de 9,8 e foi identificada com exploração ativa; milhares de instâncias estão expostas publicamente.
- O problema envolve a integração com Model Context Protocol (MCP); o endpoint /mcp_message não exigia autenticação da mesma forma que outro endpoint, abrindo brecha para ações administrativas na rede.
- Com a falha, um invasor pode reiniciar o Nginx, criar, alterar ou apagar arquivos de configuração e forçar recargas automáticas do serviço.
- Em cenário real, há risco de desvio de tráfego, inserção de regras maliciosas, exposição de conteúdo interno e coleta de credenciais de administradores.
- A correção já está disponível; recomenda-se atualizar o quanto antes. Como medida temporária, desativar o MCP, restringir acesso de rede e revisar regras de allowlist.
A vulnerabilidade CVE-2026-33032 afeta o nginx-ui e foi alvo de exploração ativa, segundo equipes de segurança. O problema tem CVSS de 9,8 e compromete uma ferramenta web usada para gerenciar configurações do servidor.
O ponto crítico ocorre na integração com MCP, o Model Context Protocol. O endpoint /mcp_message não exigia autenticação da mesma forma que outros pontos, abrindo brecha para ações administrativas por invasores.
Com a falha, um atacante pode reiniciar o Nginx, criar, alterar ou apagar arquivos de configuração e forçar recargas automáticas do serviço. Em cenários reais, há risco de desvio de tráfego, inserção de regras maliciosas e coleta de credenciais.
A gravidade aumenta pela existência de milhares de instâncias expostas na internet, ampliando a superfície de ataque para provedores, painéis de hospedagem e equipes que gerenciam múltiplos serviços via nginx-ui. A correção já está disponível pelos mantenedores.
Como medida imediata, recomenda-se atualizar o nginx-ui para a versão patched. Como alternativa temporária, desative a MCP, restrinja o acesso em rede e revise as regras de allowlist para reduzir a exposição.
Entre na conversa da comunidade