Se ha identificado la vulnerabilidad crítica CVE-2026-27944 en la herramienta Nginx UI, una interfaz web utilizada para administrar servidores Nginx. Esta vulnerabilidad permite a atacantes remotos acceder a información altamente sensible sin necesidad de autenticación, comprometiendo completamente la confidencialidad, integridad y disponibilidad del sistema. Su severidad ha sido calificada como CRÍTICA (CVSS 9.8).
La vulnerabilidad corresponde a una falta de autenticación en una función crítica (CWE-306) combinada con una mala gestión de claves de cifrado.
El problema se encuentra en el endpoint en /api/backup, el cual es una ruta de la API que ejecuta la función de generar y descargar respaldos del sistema, pero en este caso está mal protegida y permite acceder a esa información sin autenticación y además expone en la cabecera HTTP (X-Backup-Security) las claves necesarias para descifrar dichos backups.
Como resultado, un atacante puede enviar una solicitud directamente al endpoint vulnerable y obtener un backup completo del servidor sin necesidad de autenticarse. En la misma respuesta, el sistema incluye en la cabecera HTTP (X-Backup-Security) las claves necesarias para descifrar la información, lo que permite acceder inmediatamente al contenido en texto claro. Esta falla anula por completo la protección criptográfica implementada, ya que las claves de cifrado se entregan junto con los datos sensibles, facilitando su explotación de forma trivial.
Equipos y versiones afectadas
La vulnerabilidad afecta al producto Nginx UI, específicamente a todas las versiones anteriores a la 2.3.3, en las cuales el endpoint /api/backup se encuentra expuesto sin mecanismos adecuados de autenticación, permitiendo el acceso no autorizado a respaldos del sistema.
Versiones corregidas
La vulnerabilidad ha sido mitigada a partir de la versión Nginx UI 2.3.3 y posteriores. En estas versiones, se ha implementado un control de autenticación obligatorio para acceder al endpoint /api/backup, y se ha eliminado la exposición de claves de cifrado en las cabeceras HTTP, evitando que los respaldos puedan ser descifrados por usuarios no autorizados.
Workaround (si aplica)
En caso de no poder aplicar el parche inmediatamente, se recomienda:
- Restringir el acceso al endpoint /api/backup mediante firewall o ACL.
- Limitar el acceso a la interfaz Nginx UI solo a redes internas o VPN.
- Bloquear el acceso público a la interfaz de administración.
Estas medidas reducen la superficie de ataque, aunque no eliminan completamente el riesgo.
Recomendaciones
- Actualizar inmediatamente a la versión 2.3.3 o superior.
- No exponer interfaces de administración a Internet.
- Implementar controles de acceso (VPN, allowlist de IPs, MFA).
- Revisar logs en busca de accesos al endpoint
/api/backup. - Rotar credenciales, claves SSL y tokens en caso de posible compromiso.
- Realizar auditorías de seguridad periódicas en APIs internas.
El impacto de explotación incluye exposición de credenciales, claves privadas SSL, configuraciones internas y potencial toma de control del servidor.
Referencias