Con una sola petición y sin contraseña: una vulnerabilidad crítica en nginx-ui permite tomar el control de cualquier servidor
nginx-ui, herramienta popular para webmasters, queda expuesta a ataques
Un servidor web común puede pasar a estar bajo el control total de un atacante tras una sola petición desde Internet. Una nueva vulnerabilidad en el popular panel de control Nginx ya se emplea en ataques reales, y para comprometerlo ni siquiera se requiere contraseña.
El problema recibió el identificador CVE-2026-33032 (puntuación CVSS: 9.8) y está relacionado con que nginx-ui deja desprotegida la ruta de servicio "/mcp_message". A través de esa ruta cualquier persona en la red puede ejecutar comandos con privilegios elevados sin verificación de acceso. Se trata de acciones que gestionan directamente el servidor: reiniciar Nginx, modificar o eliminar archivos de configuración y recargar automáticamente esas configuraciones.
Según datos del Instituto Nacional de Estándares y Tecnología de EE. UU., cualquier atacante con acceso a la red puede obtener control total sobre el servicio Nginx. Basta con enviar una sola petición sin autenticación. Los desarrolladores cerraron la brecha en la versión 2.3.4 el 15 de marzo, un día después del informe de la empresa Pluto Security. Sin embargo, los detalles, incluido el código de demostración del ataque, aparecieron más tarde, a finales de mes. Tras su publicación la información se difundió rápidamente y los ataques comenzaron de inmediato.
nginx-ui es una interfaz web para gestionar el servidor Nginx y se usa ampliamente. El proyecto acumuló más de 11 000 estrellas en GitHub, y las imágenes se descargaron más de 430 000 veces. Según un escaneo de internet a través de datos y herramientas como Shodan, ahora están disponibles alrededor de 2 600 instalaciones vulnerables. La mayor cantidad de estas instalaciones se detectó en China, Estados Unidos, Indonesia, Alemania y Hong Kong.
El ataque es sencillo. El atacante establece conexión con el servidor, abre una sesión y obtiene un identificador. Después de eso puede enviar comandos a la ruta vulnerable "/mcp_message" sin ninguna comprobación. Con las herramientas de gestión disponibles, el atacante lee la configuración, descarga archivos, añade ajustes maliciosos y obliga al servidor a aplicar los cambios.
En una demostración los especialistas mostraron cómo mediante este mecanismo se puede tomar el control completo de un servidor Nginx sin autenticación. Teniendo en cuenta los ataques en curso y los ejemplos disponibles de explotación, se recomienda a los administradores actualizar con urgencia. La versión segura de nginx-ui en este momento es 2.3.6, que se publicó la semana pasada.