Critical Nginx UI auth bypass flaw now actively exploited in the wild

Exploitation active de la faille critique dans Nginx UI

Une vulnérabilité critique est actuellement exploitée dans Nginx UI, permettant une prise de contrôle totale des serveurs sans authentification. La faille concerne l’interface de gestion Nginx basée sur le web, largement utilisée, et expose plus de 2 600 instances publiques à travers le monde.

Vulnérabilité

• CVE-2026-33032 : Défaut d’authentification sur le point de terminaison /mcp_message (Model Context Protocol).
• Impact : Un attaquant peut invoquer des outils MCP privilégiés sans identifiants, permettant la lecture, la modification ou la suppression de fichiers de configuration Nginx, ainsi que le rechargement forcé du service.

Points clés

• Mécanisme d’attaque : L’exploitation s’effectue via l’établissement d’une connexion SSE et l’ouverture d’une session MCP, permettant d’envoyer des requêtes malveillantes au point de terminaison non protégé.
• Gravité : L’attaque aboutit à une compromission totale du serveur web par injection de blocs de configuration malveillants.
• Statut : Des preuves de concept (PoC) sont publiquement disponibles et des campagnes d’exploitation active ont été confirmées.

Recommandations

• Mise à jour immédiate : Appliquer sans délai la mise à jour vers la version 2.3.6 (ou supérieure), qui corrige cette vulnérabilité.
• Audit : Les administrateurs doivent vérifier si leurs instances Nginx UI sont exposées sur Internet et restreindre l’accès au réseau si possible.

Source