Se ha revelado una falla crítica en el mecanismo de restauración de respaldos de Nginx-UI, identificada como CVE-2026-33026. Esta vulnerabilidad permite a atacantes manipular archivos de respaldo cifrados e inyectar configuraciones maliciosas durante el proceso de restauración, posibilitando la ejecución remota de comandos arbitrarios en el sistema afectado. Un exploit público tipo Proof-of-Concept (PoC) ya está disponible, lo que incrementa el riesgo de compromisos totales en sistemas sin parchear.
CVE y severidad
| CVE | Severidad | CVSS 4.0 | Ámbito afectado | Explotación conocida |
|---|---|---|---|---|
| CVE-2026-33026 | Crítica | Máximo (múltiples métricas de impacto) | Mecanismo de respaldo y restauración en Nginx-UI | Sí, con PoC público disponible |
Productos afectados
La vulnerabilidad impacta al paquete Nginx-UI desarrollado en Go, específicamente en las versiones 2.3.3 y anteriores.
Solución
Actualizar inmediatamente a la versión 2.3.4 donde se corrige esta vulnerabilidad.
Recomendaciones
Se recomienda priorizar la aplicación del parche en la próxima ventana de mantenimiento, además de validar la integridad del sistema post actualización. Es crucial implementar un modelo de raíz de confianza confiable del lado servidor y reforzar la verificación estricta que aborta la restauración si las sumas hash no coinciden.