Vulnerabilidad crítica en nginx-ui permite el control total del servidor

Una falla de seguridad crítica en nginx-ui, una herramienta de código abierto para administrar Nginx a través de la web, está siendo aprovechada activamente por atacantes. Esta vulnerabilidad, identificada como CVE-2026-33032, permite a los atacantes tomar el control completo del servicio Nginx. Imagina que alguien encuentra una puerta trasera en el panel de control de tu servidor web y la usa para cambiar la configuración a su antojo.

Cómo funciona el ataque

La vulnerabilidad reside en la integración de nginx-ui con MCP (Model Context Protocol), que expone dos puntos de acceso HTTP: /mcp y /mcp_message. Normalmente, /mcp requiere autenticación, pero /mcp_message solo verifica la dirección IP, y por defecto, ¡permite todas las IPs! Esto significa que cualquiera puede usar las herramientas MCP sin necesidad de usuario ni contraseña. El investigador de seguridad Yotam Perkal de Pluto Security descubrió que el ataque se puede realizar en segundos con dos simples pasos:

• Primero, se envía una petición HTTP GET a /mcp para establecer una sesión y obtener un ID.
• Luego, se envía una petición HTTP POST a /mcp_message usando ese ID para ejecutar cualquier herramienta MCP sin autenticación.

Para obtener el ID de sesión inicial, los atacantes pueden aprovechar otra vulnerabilidad (CVE-2026-27944) en versiones anteriores a la 2.3.3. Esta vulnerabilidad permite descargar copias de seguridad del sistema sin autenticación, revelando información sensible como contraseñas, claves SSL y un parámetro llamado "node_secret" que se usa para autenticar la interfaz MCP. En resumen, es como si dejaran las llaves de tu casa debajo del felpudo.

A quién afecta

Esta vulnerabilidad afecta a cualquier persona que esté utilizando nginx-ui sin la debida protección. Según datos de Shodan, hay alrededor de 2,689 instancias expuestas en Internet, principalmente en China, Estados Unidos, Indonesia, Alemania y Hong Kong. Pluto Security advierte que el riesgo para las implementaciones no parcheadas es inmediato y real.

Cómo protegerse

La vulnerabilidad fue solucionada en la versión 2.3.4, lanzada el 15 de marzo de 2026. Se recomienda actualizar a esta versión lo antes posible. Como alternativa temporal, se aconseja añadir la función "middleware.AuthRequired()" al endpoint "/mcp_message" para forzar la autenticación, o cambiar el comportamiento predeterminado de la lista de IPs permitidas de "permitir todo" a "denegar todo".

Qué significa esto para ti

Si utilizas nginx-ui, es crucial que tomes medidas inmediatas para proteger tu servidor. Actualiza a la última versión o aplica las soluciones alternativas recomendadas. No hacerlo podría permitir que atacantes tomen el control de tu servidor web, intercepten tráfico y roben credenciales administrativas. Es como dejar la puerta de tu casa abierta de par en par para los ladrones.