Критична уразливість CVE-2026-33032, відома як MCPwn, в інтерфейсі nginx-ui уже активно експлуатується в інтернеті та дозволяє зловмисникам практично повністю перехопити керування веб-сервером Nginx. За шкалою CVSS проблема отримала оцінку 9.8, що відносить її до найбільш небезпечних класів вразливостей.
Що таке nginx-ui та чому CVE-2026-33032 настільки небезпечна
nginx-ui — це веб-панель для адміністрування Nginx, яка дозволяє перезапускати сервіс, створювати та змінювати конфігураційні файли, застосовувати нові налаштування без прямого доступу по SSH. Фактично це зручний, але дуже чутливий до безпеки «пульт керування» вашим веб-сервером.
Уразливість CVE-2026-33032 належить до класу обходу автентифікації (authentication bypass). Це означає, що атакуючий може виконувати дії рівня адміністратора без жодного проходження авторизації: без паролів, токенів або заголовків авторизації. За своєю суттю це еквівалентно повністю відчиненим дверям до панелі керування Nginx.
Технічні деталі MCPwn: роль MCP та ендпоінта /mcp_message
Проблема виникає внаслідок інтеграції nginx-ui з MCP (Model Context Protocol). Для роботи з MCP панель публікує два HTTP-ендпоінти: /mcp та /mcp_message. Для /mcp коректно застосовуються два рівні захисту: IP-allowlist та middleware AuthRequired(), яке вимагає автентифікації.
Однак для /mcp_message використовується лише перевірка за білим списком IP, причому список за замовчуванням порожній. Реалізація трактує порожній allowlist як режим «allow-all», тобто «дозволити всім». У результаті будь-який клієнт з мережі може звернутися до цього ендпоінта, і запит буде прийнятий без перевірки автентифікації.
Дослідник Pluto Security Йотам Пер-каль продемонстрував, що для повного захоплення керування nginx через nginx-ui достатньо двох HTTP-запитів до /mcp_message. Через цей інтерфейс зловмисник може викликати MCP-інструменти, зокрема:
- перезапускати сервіс Nginx;
- створювати, змінювати та видаляти конфігураційні файли;
- ініціювати перезавантаження конфігурації.
Практичний наслідок — повний контроль над веб-сервером. Атакуючий може підмінити конфігурацію, перенаправити весь трафік через власні вузли, додати шкідливі редиректи або налаштувати прозорий перехоплення даних користувачів.
Ризики для організацій: перехоплення трафіку, облікових даних та атак на ланцюг поставок
Успішна експлуатація CVE-2026-33032 надає зловмиснику не лише адмін-доступ до nginx-ui, а й можливість контролювати весь HTTP(S)-трафік, що проходить через Nginx. Змінивши конфігурацію, атакуючий може:
- проксіювати запити через контрольований сервер і непомітно перехоплювати дані;
- підмінювати вміст веб-сторінок, включно з формами входу та платіжними формами;
- збирати облікові дані адміністраторів та звичайних користувачів;
- розгортати атаки ланцюга поставок, поширюючи шкідливий код через легітимні веб-сервіси.
За даними Shodan, в інтернеті налічується близько 2 689 публічно доступних екземплярів nginx-ui. Найбільше розгортань виявлено в Китаї, США, Індонезії, Німеччині та Гонконзі. Платформа Recorded Future включила CVE-2026-33032 до списку з 31 уразливості, які активно експлуатувалися в березні 2026 року, що підтверджує реальний характер загрози, а не лише теоретичну можливість атаки.
Оновлення nginx-ui та тимчасові заходи захисту
Розробники усунули уразливість у версії nginx-ui 2.3.4, випущеній 15 березня 2026 року. Власникам панелі рекомендується негайно оновитися до цієї версії, особливо якщо nginx-ui доступний ззовні або використовується як багатокористувацький інструмент адміністрування.
Обхідні рішення для CVE-2026-33032, якщо оновлення тимчасово неможливе
Якщо оперативне оновлення до 2.3.4 з якихось причин недоступне, варто реалізувати такі кроки зниження ризику:
- додати
middleware.AuthRequired()для ендпоінта/mcp_message, щоб примусово вимагати автентифікацію; - змінити поведінку IP-allowlist за замовчуванням з «allow-all» на «deny-all» та явним чином визначати довірені підмережі;
- обмежити мережевий доступ до nginx-ui за допомогою міжмережевих екранів, VPN або сегментації мережі;
- за можливості тимчасово відключити підтримку MCP до встановлення оновленої версії.
За оцінкою Pluto Security, за наявності приблизно 2,6 тисяч відкритих інсталяцій nginx-ui ризик для неоновлених систем є «негайним і суттєвим», тому оновлення до версії 2.3.4 слід розглядати як аварійний захід реагування.
Пов’язані уразливості MCP та ключовий урок для розробників
Інцидент з MCPwn вписується у ширший тренд проблем безпеки, пов’язаних з інтеграціями MCP. Раніше були розкриті дві критичні уразливості mcp-atlassian (сервер Atlassian MCP) — CVE-2026-27825 (CVSS 9.1) та CVE-2026-27826 (CVSS 8.2), об’єднані під назвою MCPwnfluence. Їхня спільна експлуатація дозволяє виконувати довільний код (RCE) у локальній мережі без автентифікації.
Ключова проблема полягає в тому, що при додаванні MCP до існуючих систем MCP-ендпоінти часто успадковують повний набір функціональності, але не їхні механізми безпеки. У результаті створюється фактичний «бекдор», який обходить стандартні контури автентифікації й авторизації, що ретельно вибудовувалися роками.
Організаціям, які використовують nginx-ui та інші компоненти з підтримкою MCP, варто переосмислити архітектуру таких інтеграцій: мінімізувати експонування адміністративних інтерфейсів в інтернет, запровадити жорсткі IP-списки, багатофакторну автентифікацію для доступу до панелей керування та регулярний аудит налаштувань безпеки. Проактивна перевірка MCP-ендпоінтів, постійний моніторинг публічних експлойтів і оперативне застосування оновлень мають стати невід’ємною частиною сучасної стратегії кіберзахисту.
