一、背景介绍
近日监测官方修复Nginx UI信息泄露漏洞(CVE-2026-27944),目前该漏洞PoC和技术细节已公开。鉴于该漏洞影响较大,建议尽快做好自查及防护。
PART1.1 漏洞描述
Nginx UI是一款基于Web的图形化管理工具,旨在简化Nginx服务器的配置、管理和监控。该漏洞源于/api/backup端点无需身份验证即可访问,并在X-BackupSecurity响应头中泄露了解密备份所需的加密密钥。攻击者能够下载服务器敏感数据(用户凭据、会话令牌、SSL私钥、Nginx配置)的完整系统备份并解密。
PART1.2漏洞编号
CVE-2026-27944
PART1.3漏洞等级
高危
二、修复建议
PART2.1 受影响版本
Nginx UI < 2.3.3
PART2.2 修复建议
官方已发布安全补丁,请及时更新至最新版本:Nginx UI >= 2.3.3
下载地址:https://github.com/0xJacky/nginx-ui/releases/
