Se ha identificado una vulnerabilidad crítica de bypass de autenticación en Nginx UI, catalogada como CVE-2026-33032 (CVSS 9.8), la cual está siendo explotada activamente. La falla permite a atacantes remotos no autenticados obtener control total sobre instancias afectadas mediante el abuso del endpoint /mcp_message, el cual carece de controles de autenticación. Esta condición, combinada con una configuración por defecto permisiva (whitelist de IPs vacía), permite el acceso no autorizado y la ejecución de acciones administrativas sobre el servidor Nginx, incluyendo la modificación de configuraciones y reinicio de servicios.
CVE y severidad
| CVE | CVSS v3 Base Score | Severidad | Componente afectado | Estado de explotación |
|---|---|---|---|---|
| CVE-2026-33032 | 9.8 (Crítica) | Crítica | Integración MCP en Nginx UI (endpoint /mcp_message) | Explotación activa confirmada |
Productos afectados
Nginx UI, interfaz web para gestión de configuraciones Nginx, versiones anteriores a la 2.3.4, expuestas en más de 2,600 instancias públicas según análisis en Shodan.
Solución
Actualizar inmediatamente a Nginx UI versión 2.3.4 o superior.
Recomendaciones
Priorizar la actualización urgente del software; si no es posible, desactivar temporalmente la funcionalidad MCP y restringir la lista blanca de direcciones IP a administradores confiables para evitar accesos no autorizados; además, revisar detalladamente logs y configuraciones para detectar indicios de compromisos.