Kritieke kwetsbaarheid in Nginx UI - CVE-2026-33032

In dit artikel:

Een recent ontdekte kritieke kwetsbaarheid in Nginx UI maakt het mogelijk voor onbevoegden om op afstand Nginx-servers over te nemen. Nginx UI is een webinterface waarmee beheerders configuraties en TLS-certificaten kunnen beheren, de status kunnen monitoren en de server kunnen herstarten. De fout zit in de Model Context Protocol (MCP)-integratie: het MCP-endpoint kon zonder authenticatie worden benaderd, waardoor een aanvaller configuratie-aanpassingen kan uitvoeren en volledige controle over de server kan krijgen.

De kwetsbaarheid is geregistreerd als CVE-2026-33032 en krijgt een CVSS-score van 9,8 (CRITICAL). Nginx-gebruikers wordt dringend geadviseerd de officiële advisory van Nginx UI te volgen voor oplossingen en updates. Als tijdelijke mitigatie kunnen organisaties de toegang tot Nginx UI beperken (bijv. via firewallregels of netwerksegmentatie), de UI uitschakelen waar mogelijk, en controleren op tekenen van compromise en verdacht gedrag totdat een officiële patch beschikbaar is.