Actively Exploited nginx-ui Flaw (CVE-2026-33032) Enables Full Nginx Server Takeover

Prise de contrôle critique de serveurs Nginx via nginx-ui

Une vulnérabilité critique, identifiée sous le nom de MCPwn, affecte l’outil de gestion nginx-ui. Actuellement exploitée par des attaquants, cette faille permet une prise de contrôle totale des serveurs Nginx exposés.

Points clés :

• Vecteur d’attaque : La vulnérabilité réside dans une mauvaise implémentation du protocole MCP (Model Context Protocol). L’interface expose un point de terminaison /mcp_message qui, contrairement à /mcp, ne vérifie pas l’authentification et traite une liste blanche d’IP vide comme une autorisation totale (« autoriser tout »).
• Impact : Un attaquant distant peut exécuter n’importe quel outil MCP sans authentification, permettant de modifier ou supprimer des fichiers de configuration, redémarrer le service, intercepter le trafic et voler des identifiants d’administration.
• Vulnérabilité :
  • CVE-2026-33032 (Score CVSS : 9.8) – Contournement d’authentification.
• État de la menace : Plus de 2 600 instances sont actuellement exposées sur Internet. La faille est activement utilisée par des acteurs malveillants depuis mars 2026.

Recommandations :

• Mise à jour immédiate : Passer à la version 2.3.4 ou supérieure de nginx-ui.
• Mesures palliatives :
  • Appliquer le middleware AuthRequired() au point de terminaison /mcp_message.
  • Modifier la configuration de la liste blanche IP pour passer du mode « autoriser tout » à « interdire tout ».
  • En cas d’impossibilité de mise à jour, désactiver les fonctionnalités MCP et restreindre l’accès réseau à l’outil.

Source