一、漏洞详情
Nginx UI是一款基于Web的图形化管理工具。
近日,监测到官方修复Nginx UI信息泄露漏洞(CVE-2026-27944),该漏洞源于/api/backup端点无需身份验证即可访问,并在X-Backup-Security响应头中泄露了解密备份所需的加密密钥。攻击者能够下载服务器敏感数据(用户凭据、会话令牌、SSL私钥、Nginx 配置)的完整系统备份并解密。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Nginx UI < 2.3.3
三、修复建议
官方已发布安全补丁,请及时更新至最新版本:
Nginx UI >= 2.3.3
