Pesquisadores da Pluto Security descobriram uma vulnerabilidade crítica de bypass de autenticação no Nginx UI que está sendo ativamente explorada. A falha, rastreada como CVE-2026-33032, permite que atacantes remotos assumam o controle total de servidores nginx sem qualquer credencial.
Mecanismo técnico da vulnerabilidade
A vulnerabilidade reside na exposição desprotegida do endpoint ‘/mcp_message’, parte da integração de IA recentemente adicionada ao Nginx UI através do protocolo MCP (Model Context Protocol, sistema que permite integração entre aplicações e modelos de IA). O sistema deixa este endpoint acessível sem validação de credenciais, permitindo que atacantes invoquem ações privilegiadas remotamente.
O processo de exploração é direto: o atacante estabelece uma conexão SSE (Server-Sent Events, protocolo para comunicação unidirecional servidor-cliente em tempo real), abre uma sessão MCP e utiliza o sessionID retornado para enviar comandos ao endpoint vulnerável. Esta falha segue um padrão preocupante identificado pela Pluto Security, onde endpoints de integração com IA expõem capacidades críticas mas ignoram controles de segurança básicos.
Cadeia de ataque e persistência
A exploração começa com varreduras de rede para identificar instâncias Nginx UI expostas. Uma vez localizado um alvo, o atacante conecta-se sem headers de autenticação, estabelece a conexão SSE e obtém um sessionID válido. Com esse identificador, torna-se possível enviar requisições maliciosas que acessam e modificam arquivos de configuração do nginx.
Para manter persistência, os atacantes injetam novos blocos de servidor nas configurações, podendo implantar backdoors, redirecionar tráfego ou interceptar dados sensíveis. O sistema então dispara um recarregamento automático do nginx, aplicando as mudanças maliciosas sem intervenção manual.
Escala global e versões afetadas
Mais de 2.600 instâncias potencialmente vulneráveis foram identificadas globalmente através de varreduras com o Shodan (motor de busca especializado em dispositivos conectados à internet). A maior concentração está na China, Estados Unidos, Indonésia, Alemanha e Hong Kong. O Nginx UI possui significativa adoção, com 11.000 stars no GitHub e mais de 430.000 downloads via Docker.
Todas as versões do Nginx UI com suporte MCP anteriores à 2.3.4 são vulneráveis. A correção inicial foi lançada em 15 de março de 2026, com a versão 2.3.6 sendo a mais recente e segura. A vulnerabilidade não é isolada – outras falhas críticas foram corrigidas recentemente, incluindo CVE-2026-27944 (downloads não autorizados de backups) e CVE-2026-33030 (acesso não autorizado por usuários autenticados).
Detecção e indicadores de comprometimento
Administradores devem monitorar conexões SSE anômalas sem autenticação, modificações não autorizadas em arquivos de configuração e recarregamentos automáticos do nginx fora dos horários de manutenção. O endpoint comprometido ‘/mcp_message’ deve ser auditado, assim como a criação de novos blocos de servidor.
A integração MCP expõe 12 ferramentas, sendo 7 consideradas destrutivas por permitirem manipulação direta de configurações e controle do serviço nginx. Essas capacidades, quando exploradas, permitem interceptação de tráfego, implantação de backdoors e redirecionamentos maliciosos.
Exploração ativa confirmada
A Recorded Future, empresa de inteligência de ameaças, confirmou que a CVE-2026-33032 está entre 31 vulnerabilidades de alto impacto sendo ativamente exploradas. Embora não haja informações públicas sobre a natureza específica dos ataques observados, a facilidade de exploração e o impacto potencial tornam esta vulnerabilidade especialmente perigosa.
Yotam Perkal, Diretor de Pesquisa em Segurança da Pluto Security e responsável pela descoberta, alertou que esta é a segunda vulnerabilidade crítica em integrações MCP divulgada no ano, indicando uma tendência sistemática de falhas de segurança em endpoints de IA.
Ações recomendadas
Administradores devem atualizar imediatamente para a versão 2.3.6 do Nginx UI. Em ambientes onde a atualização imediata não é possível, considere bloquear o acesso ao endpoint ‘/mcp_message’ através de regras de firewall ou configurações do próprio nginx. Audite logs em busca de atividades suspeitas, especialmente modificações em configurações e conexões SSE não autenticadas.
A vulnerabilidade destaca a importância de revisar cuidadosamente integrações com IA e garantir que novos recursos não comprometam controles de segurança estabelecidos. Com a crescente adoção de protocolos como MCP, é crítico que desenvolvedores implementem autenticação e autorização adequadas em todos os endpoints, independentemente de sua função.