16.04.2026
1 хв
212
Дослідники виявили критичну вразливість у Nginx UI, яка дозволяє зловмисникам отримати повний контроль над сервером без авторизації. Проблема вже викликає серйозне занепокоєння, оскільки її експлуатація не потребує складних дій і може виконуватися віддалено.
У популярному open-source інструменті nginx-ui виявили критичну вразливість, яка вже потрапила в поле зору зловмисників. Йдеться про баг із ідентифікатором CVE-2026-33032 з оцінкою 9.8 за CVSS. Він дозволяє обійти автентифікацію та фактично отримати повний контроль над сервером Nginx.
Проблема пов’язана з реалізацією Model Context Protocol. У nginx-ui є два HTTP endpoint’и: /mcp і /mcp_message. Перший захищений і вимагає як перевірки IP, так і авторизації. А ось другий працює лише з IP-фільтрацією, яка за замовчуванням налаштована як «дозволити всі». У підсумку будь-хто з мережі може отримати доступ до функцій без жодної авторизації.
Розробники прямо зазначають: це відкриває доступ до всіх інструментів MCP. Тобто зловмисник може перезапускати nginx, змінювати або видаляти конфігураційні файли, а також запускати автоматичне перезавантаження. По суті, це повний контроль над сервісом.
Дослідник Pluto Security Йотам Перкал, який виявив проблему, показав, що атака займає буквально секунди. Вона складається всього з двох кроків:
GET-запит до
/mcp, щоб створити сесію та отримати її ідентифікатор
POST-запит до
/mcp_message, де цей ідентифікатор використовується для виклику будь-яких функцій без авторизації
Іншими словами, достатньо надіслати спеціально сформовані HTTP-запити без токенів чи заголовків, щоб обійти захист.
У разі успішної атаки можливості зловмисника не обмежуються лише конфігурацією. Він може перехоплювати трафік і збирати облікові дані адміністратора, що відкриває шлях до подальшого компрометування системи.
Вразливість уже виправили у версії 2.3.4, яка вийшла 15 березня 2026 року. Тим, хто ще не оновився, рекомендують або додати обов’язкову автентифікацію до /mcp_message, або змінити поведінку IP-фільтрації з «дозволити всі» на «заборонити всі».
Цей баг уже фігурує серед тих, які активно використовувалися у березні 2026 року. За даними Recorded Future, він увійшов до списку з 31 вразливості, які зловмисники реально експлуатували. Водночас детальної інформації про конкретні атаки поки що немає.
«Коли ви інтегруєте MCP у існуючу систему, endpoint’и отримують усі її можливості, але не завжди успадковують механізми безпеки. У результаті виникає бекдор, який обходить захист», – пояснив Перкал.
За даними Shodan, у відкритому доступі знаходиться близько 2600–2700 інстансів nginx-ui. Найбільше їх у Китаї, США, Індонезії, Німеччині та Гонконзі. Це означає, що ризик для тих, хто не встановив патч, залишається цілком реальним.
У Pluto Security прямо називають ситуацію критичною. Компаніям радять негайно оновитися або тимчасово вимкнути MCP і обмежити доступ до сервера ззовні.
На цьому фоні також стало відомо про ще одну проблему, пов’язану з MCP. У сервері Atlassian MCP знайшли дві вразливості, які разом дозволяють виконувати довільний код. Вони отримали назви CVE-2026-27825 і CVE-2026-27826 та об’єднану назву MCPwnfluence.
Дослідники пояснюють, що, поєднавши ці баги, зловмисник у локальній мережі може перенаправити сервер, завантажити шкідливі дані та отримати повний контроль без будь-якої автентифікації.
Усе це вкотре показує просту річ: навіть невелика помилка в логіці доступу може перетворитися на повноцінний бекдор із повним доступом до системи.
