O Diário de Analistas de Plantão  |  Vol. 2  |  N. 3  |  Pp. 52–54  |  2026  |  ISSN xxxx-xxxx

Alerta: Nova vulnerabilidade no Nginx UI (CVE-2026-33026)

Publicado em: 31 de março de 2026
Atualizado em: 31 de março de 2026
por Adriano Cansian.

Foi divulgada uma vulnerabilidade crítica no Nginx UI, identificada como CVE-2026-33026, que afeta o mecanismo de backup e restauração. Ela permite que atacantes não autenticados manipulem arquivos de backup criptografados, injetando configurações maliciosas durante a restauração.

Uma  PoC que permite a exploração da vulnerabilidade foi disponibilizada publicamente em torno de 29 e 30 de março de 2026 . Sites como Snyk publicaram exemplos de código de exploração (script Python para download e descriptografia de backups) logo após a divulgação inicial da falha em março.

Apenas usuários do Nginx UI são afetados por essa vulnerabilidade. Se você utiliza somente o Nginx web server oficial (nginx.org), sem instalar ou rodar o Nginx UI, você não está exposto à vulnerabilidade CVE-2026-33026.

Essa é uma vulnerabilidade diferente da registrada como CVE-2026-27944 e publicada anteriormente aqui no Diário do Analista em 10/3/2026.

Diferença Fundamental: Nginx UI não é o Nginx

O Nginx é um servidor web e proxy reverso de alto desempenho, mantido pela F5/Nginx Inc., usado globalmente para hospedagem e balanceamento de carga. O Nginx UI, por outro lado, é um projeto de terceiros (GitHub 0xJacky/nginx-ui), uma interface gráfica opcional que roda separadamente para facilitar a administração visual do Nginx.

Confirmação de Exposição

  • Usuários de apenas Nginx: Imunes, pois a falha está no endpoint /api/backup do Nginx UI, ausente no servidor principal.

  • Usuários de Nginx + Nginx UI: Vulneráveis se a versão for anterior a 2.3.4; verifique processos na porta 9000 ou Docker images

Detalhes Técnicos

O Nginx UIapresenta falhas em versões anteriores à 2.3.4, onde o endpoint de backup carece de autenticação adequada e expõe chaves de criptografia. Isso possibilita o download não autorizado de backups completos do sistema, contendo credenciais, tokens de sessão, chaves SSL privadas e configurações sensíveis.

O ataque à vulnerabilidade CVE-2026-33026 (e relacionadas, como CVE-2026-27944) no Nginx UI é remoto e não requer autenticação.

Detalhes do Vetor de Ataque

Atacantes remotos podem explorar o endpoint /api/backup exposto na interface web (geralmente na porta TCP/9000), enviando requisições HTTP simples para baixar backups completos do sistema, incluindo chaves de criptografia no header X-Backup-Security. Isso permite descriptografia imediata de dados sensíveis como credenciais, chaves SSL e configurações, sem necessidade de credenciais ou acesso local.

Condições para Exploração Remota

  • A interface Nginx UI deve estar acessível pela internet ou rede externa (ex.: sem firewall ou VPN restritiva).

  • PoCs públicas usam scripts Python para automação remota via curl ou requests.

Contexto da Divulgação

A vulnerabilidade foi reportada inicialmente entre  4 a 8 de março de 2026, com PoCs para exploits relacionados (como CVE-2026-27944) já disponíveis desde então em plataformas como Snyk e GitHub.

A versão específica CVE-2026-33026, focada em manipulação de backups, teve PoC confirmada em feeds de vulnerabilidades datados de 29 a 31 de março.

Impacto e Exploração

A exploração resulta em divulgação de dados sensíveis, potencial controle da interface de gerenciamento e ataques como man-in-the-middle. Provas de conceito (PoCs) públicas já foram divulgadas, facilitando ataques automatizados via scripts Python que baixam, descriptografam e extraem os arquivos.

Solução e Mitigações

Solução: Atualize imediatamente para a versão 2.3.4 ou superior, que corrige a ausência de sincronização e autenticação.

Mitigação: Restrinja acesso à interface de gerenciamento via redes privadas, VPNs ou listas de IP permitidos, e roteie credenciais expostas.

Referências:

Nota de transparência: Essa publicação NÃO utilizou de ferramentas de Inteligência Artificial Generativa para sua escrita, exceto para realização de pesquisa e validação de referências. Os demais o conteúdos foram elaborados e revisados pelo autor.

Categorias: Alerta, CVE, Nginx.

Adriano Cansian Adriano Mauro Cansian, Doutor em Física Computacional e Professor Associado e pesquisador da UNESP - Universidade Estadual Paulista, possui 30 anos de experiência em pesquisa, desenvolvimento e ensino de segurança cibernética. Fundador e coordenador do Laboratório ACME! Cybersecurity Research, e revisor das revistas "Computers & Security" e "International Journal of Forensic Computer Science", consultor e membro de vários comitês e organizações técnicas para promover a pesquisa em segurança da informação, além de atuar como voluntário em organizações de governança da Internet.