Nginx UI — это веб-интерфейс пользователя для веб-сервера Nginx. В версиях 2.3.5 и более ранних интеграция nginx-ui MCP (Model Context Protocol) предоставляет две конечные точки HTTP: /mcp и /mcp_message. Хотя /mcp требует как белого списка IP-адресов, так и аутентификации (промежуточное программное обеспечение AuthRequired()), конечная точка /mcp_message применяет только белый список IP-адресов, а белый список IP-адресов по умолчанию пуст, что промежуточное программное обеспечение рассматривает как «разрешить все».
Это означает, что любой сетевой злоумышленник может вызвать все инструменты MCP без аутентификации, включая перезапуск nginx, создание/изменение/удаление файлов конфигурации nginx и запуск автоматической перезагрузки конфигурации, что обеспечивает полный контроль над службой nginx. На момент публикации общедоступных патчей нет.
Показать оригинальное описание (EN)
Nginx UI is a web user interface for the Nginx web server. In versions 2.3.5 and prior, the nginx-ui MCP (Model Context Protocol) integration exposes two HTTP endpoints: /mcp and /mcp_message. While /mcp requires both IP whitelisting and authentication (AuthRequired() middleware), the /mcp_message endpoint only applies IP whitelisting - and the default IP whitelist is empty, which the middleware treats as "allow all". This means any network attacker can invoke all MCP tools without authentication, including restarting nginx, creating/modifying/deleting nginx configuration files, and triggering automatic config reloads - achieving complete nginx service takeover. At time of publication, there are no publicly available patches.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Nginxui Nginx_Ui
cpe:2.3:a:nginxui:nginx_ui:*:*:*:*:*:*:*:*
|
— |
<= 2.3.5
|