Nieuws
image

Kritieke kwetsbaarheid in Nginx UI - CVE-2026-33032

donderdag 16 april 2026, 10:17 door Redactie, 4 reacties

Een kritieke kwetsbaarheid in Nginx UI maakt het mogelijk voor aanvallers om Nginx servers (die gebruik maken van Nginx UI) op afstand over te nemen. Nginx UI is een webgebaseerde managementinterface voor Nginx. Via deze interface is het onder andere mogelijk om configuraties en TLS-certificaten te beheren, de status van Nginx te monitoren en de server te herstarten.

De kwetsbaarheid bevindt zich in de Model Context Protocol (MCP) integratie van Nginx UI. Het MCP-endpoint van Nginx UI kan onder andere gebruikt worden om de Nginx configuratie aan te passen en was zonder authenticatie benaderbaar. De kwetsbaarheid zorgt ervoor dat een ongeauthenticeerde aanvaller op afstand de Nginx server kan overnemen.

De impact van de kwetsbaarheid (CVE-2026-33032) is op een schaal van 1 tot 10 beoordeeld met een 9.8 ("CRITICAL"). Gebruikers wordt aangeraden om de advisory van Nginx UI in de gaten te houden voor advies omtrent het verhelpen van de kwetsbaarheid.

Reacties (4)
Reageer met quote
Vandaag, 10:26 door Anoniem
Dit is niet de eerste 9.8 in nginx-ui .

Mag ik nu dezelfde reacties (en conspiracies) die "vendor proxies / firewalls" krijgen op dit soort management interface CVEs ?

Voor degenen die zich bij vendor producten afvragen "hoe kun je zo'n bug nou maken" - dan kun je hier tenminste de source en commit historie zien hoe relatief 'simpel' zo'n vulnerability gemaakt wordt.

Wat er hier wel anders is : het excuus "management staat de programmeurs in de nek te hijgen en daarom moeten ze code shippen voordat het klaar is dus eigenlijk ligt het aan het management" ontbreekt.
Reageer met quote
Vandaag, 11:04 door Bitje-scheef
De update kan nooit lang duren.

Helaas is de perceptie dat opensource vrij is van dit soort dingen. Ja het komt veel minder voor, maar ook opensource ontkomt niet aan dit soort dingen. Coderen blijft toch ook gewoon mensenwerk. En AI gaat het voorlopig niet beter doen.
Reageer met quote
Vandaag, 12:56 door Anoniem
Tja, nginx-ui is een project gestart door een Chinese ontwikkelaar en gebruikt claude en cursor. Wie weet was dit probleem wel opzettelijk? Of het gevolg van vibe-coding? In ieder geval handig zo'n trojaans paard voor de nation-state actor(s). De fix voor CVE-2026-33032 zie ik niet staan tussen de commits.

Voor zowel opensource oplossingen als voor de vendor proxies/firewalls geldt eigenlijk hetzelfde: voorkom dat de webinteface toegankelijk is vanaf het Internet. Een private CA en mTLS voorkomt dit soort ellende.
Reageer met quote
Vandaag, 14:47 door Anoniem
Als je .claude en .cursor in de repo ziet staan, weet je al genoeg.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Salt Road Compromised Components