Критическая уязвимость в nginx-ui — популярном открытом веб-интерфейсе для управления Nginx — уже активно эксплуатируется в интернете и позволяет атакующим фактически полностью захватывать контроль над веб-сервером. Уязвимость получила идентификатор CVE-2026-33032, оценку CVSS 9.8 и название MCPwn, присвоенное исследователями Pluto Security.
Что такое nginx-ui и почему уязвимость настолько опасна
nginx-ui предоставляет удобную веб-панель для управления конфигурацией Nginx: перезапуск сервиса, создание и изменение конфигурационных файлов, применение настроек без доступа по SSH. Именно поэтому любой сбой в механизмах аутентификации этого интерфейса автоматически превращается в критический риск для всей инфраструктуры, где он используется.
Уязвимость CVE-2026-33032 относится к классу обхода аутентификации (authentication bypass). Это означает, что злоумышленник может выполнять действия, требующие прав администратора, вообще не проходя проверку подлинности — без токенов, паролей и любых заголовков авторизации.
Технические детали CVE-2026-33032 (MCPwn)
Проблема связана с интеграцией nginx-ui с MCP (Model Context Protocol). В рамках этой интеграции приложение публикует два HTTP-эндпоинта: /mcp и /mcp_message. Согласно уведомлению мейнтейнеров nginx-ui, для /mcp корректно применяются сразу два механизма защиты: IP-список (IP allowlist) и требование аутентификации через middleware AuthRequired().
Однако для эндпоинта /mcp_message используется только проверка по IP-списку. При этом список по умолчанию пуст. Критический нюанс реализации в том, что пустой список трактуется как режим «разрешить всем». В результате любой сетевой клиент может обратиться к этому эндпоинту, и запрос будет принят без какой-либо авторизации.
Исследователь Pluto Security Йотам Пер-каль показал, что для полного захвата управления nginx достаточно всего двух HTTP-запросов к /mcp_message. Через этот интерфейс злоумышленник получает возможность вызывать MCP-инструменты, в том числе:
- перезапускать сервис Nginx;
- создавать, изменять и удалять конфигурационные файлы;
- инициировать автоматическую перезагрузку конфигурации.
На практике это означает полный контроль над веб-сервером: злоумышленник может подменить конфигурацию, перенаправить весь трафик через свои узлы, внедрить вредоносные редиректы или настроить прозрачный перехват данных.
Риски для организаций: перехват трафика и учетных данных
Успешная эксплуатация CVE-2026-33032 дает атакующему не только административный контроль над Nginx, но и возможность перехвата всего HTTP(S)-трафика, проходящего через сервер. Путем изменения конфигурации можно, например,:
- организовать проксирование через контролируемый злоумышленником хост;
- подменять контент на страницах;
- собирать учетные данные администраторов и пользователей.
По данным Shodan, в открытом доступе находится примерно 2 689 экземпляров nginx-ui, доступных из интернета. Наибольшее количество таких развертываний обнаружено в Китае, США, Индонезии, Германии и Гонконге. При этом Recorded Future включает CVE-2026-33032 в список из 31 уязвимости, активно эксплуатируемых злоумышленниками в марте 2026 года, что подтверждает не теоретический, а реальный характер угрозы.
Исправление уязвимости и рекомендуемые меры защиты
Уязвимость была устранена в версии nginx-ui 2.3.4, выпущенной 15 марта 2026 года. Пользователям настоятельно рекомендуется как можно скорее обновиться до этой версии, особенно если панель управления доступна из внешних сетей.
Временные обходные решения для CVE-2026-33032
Для тех, кто по тем или иным причинам не может немедленно провести обновление, возможны следующие меры снижения риска:
- добавить
middleware.AuthRequired()для эндпоинта/mcp_message, чтобы принудительно требовать аутентификацию; - изменить поведение IP-списка по умолчанию с модели «allow-all» на «deny-all» и явно указывать доверенные подсети;
- ограничить сетевой доступ к nginx-ui с помощью файрвола, VPN или сегментации сети;
- по возможности временно отключить функциональность MCP до установки исправленной версии.
Представители Pluto Security подчеркивают, что при наличии примерно 2,6 тысяч публично доступных nginx-ui риск для не обновленных инсталляций является «немедленным и реальным», и организациям следует рассматривать обновление до 2.3.4 как аварийную меру реагирования.
Связанные уязвимости MCP и общий урок для разработчиков
История с MCPwn укладывается в более широкий тренд проблем безопасности, возникающих при интеграции MCP. Недавно были раскрыты две уязвимости сервера Atlassian MCP (mcp-atlassian), отслеживаемые как CVE-2026-27825 (CVSS 9.1) и CVE-2026-27826 (CVSS 8.2), получившие общее название MCPwnfluence. Их совместная эксплуатация позволяет выполнить произвольный код (RCE) в локальной сети без аутентификации.
Как отмечают исследователи, при добавлении MCP к существующему приложению MCP-эндпоинты часто наследуют все функциональные возможности системы, но не всегда — ее механизмы безопасности. В результате создается скрытый бэкдор, который обходит тщательно выстроенные контуры аутентификации и авторизации.
Организациям, использующим nginx-ui и другие MCP-совместимые компоненты, следует пересмотреть архитектуру своих интеграций, минимизировать экспонирование административных интерфейсов в интернет, внедрить строгие IP-списки, многофакторную аутентификацию и регулярный аудит настроек безопасности. Проактивная проверка MCP-эндпоинтов и оперативное применение обновлений становятся критическим элементом современной стратегии кибербезопасности.
