Ausencia de autenticación en Nginx-UI
El paquete ‘github.com/0xJacky/Nginx-UI’ en versiones anteriores a la 2.3.3.
tenbbughunters, ha reportado una vulnerabilidad de severidad crítica que podría permitir a un atacante no autenticado descargar una copia de seguridad completa del sistema.
Actualizar a la versión 2.3.3.
CVE-2026-27944: el ‘/api/backup’ endpoint es accesible sin autenticación y divulga las claves de cifrado necesarias para descifrar la copia de seguridad en el ‘X-Backup-Security’ encabezado de respuesta. Esto permite a un atacante no autenticado descargar una copia de seguridad completa del sistema que contiene datos confidenciales (credenciales de usuario, tokens de sesión, claves privadas SSL, configuraciones de Nginx) y descifrarla inmediatamente.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-27944 | Crítica | No | Nginx-UI |
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.