Se ha descubierto una vulnerabilidad de severidad crítica en el producto Nginx UI. Un actor malicioso podría descargar y descifrar copias de seguridad completas del sistema, comprometiendo datos altamente confidenciales como credenciales, tokens y claves privadas.
Productos afectados
- Nginx UI, versiones anteriores a la 2.3.3.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026-27944: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de falta de autenticación para una función crítica. Un actor malicioso remoto no autenticado podría acceder al punto final /api/backup, el cual revela las claves necesarias para descifrar los respaldos en el encabezado de respuesta X-Backup-Security. Esto permite la descarga y el descifrado inmediato de archivos que contienen credenciales de usuario, tokens de sesión, claves privadas SSL y configuraciones del servidor.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias