Nginx UI 管理介面元件存在重大漏洞，遭資安公司警告已遭積極利用

漏洞詳情與影響範圍

網頁伺服器 Nginx 的第三方網頁管理介面 Nginx UI 存在重大資安漏洞，編號為 CVE-2026-33032。該漏洞於 3 月下旬被揭露，近期出現最新進展並受到高度關注。

攻擊方式與危害

通報漏洞的 Pluto Security 指出，利用此漏洞的門檻不高，但帶來的危害相當嚴重。攻擊者可在無須通過身分驗證的情況下接管網頁伺服器。具體而言，Nginx UI 的特定功能缺乏身分驗證流程，導致 12 種 MCP 工具暴露，其中一種工具允許攻擊者自動重新載入並將 Nginx 組態設定寫入。

相關漏洞與修復建議

此外，Nginx UI 還存在另一項重大漏洞 CVE-2026-27944，CVSS 嚴重性評分達 9.8。該漏洞源於 /api/backup 接口未配置身份認證中間件，導致攻擊者無需授權即可進行未授權備份下載與加密密鑰洩露。目前影響超過 2600 個實例，且已有證據顯示該漏洞正在被積極利用。