Foi divulgada uma vulnerabilidade crítica no Nginx UI, painel web para administração do servidor web Nginx, registrada como CVE-2026-27944 e com pontuação CVSS 9.8 (Critical).
NOTA IMPORTANTE: “Nginx UI” é um projeto open-source complementar e não oficial ao Nginx, hospedado no GitHub em 0xJacky/nginx-ui. Ele é uma interface gráfica para administração do Nginx e possui cerca de 9.6k estrelas de avaliação no GitHub, mas não há dados públicos de adoção em larga escala, contrastando com o market share global do Nginx core que é cerca de 33% dos servidores web existentes na Internet.
Se você não utiliza Nginx UI você pode parar de ler esse alerta nesse pronto. Caso contrário, continue.
A falha do Nginx UI permite que um atacante não autenticado baixe e decripte um full backup do sistema, expondo credenciais, tokens de sessão, chaves privadas SSL/TLS e configurações completas do Nginx e do próprio Nginx UI.
Fontes mencionam explicitamente que pesquisadores já lançaram um script PoC que automatiza o envio do GET para /api/backup, extrai a chave e o IV do cabeçalho X-Backup-Security e faz a decriptação local do backup.
Com isso, a exploração é de baixa complexidade e totalmente automatizável, o que aumenta bastante a urgência de correção
A ação mais imediata, rápida e efetiva é:
Atualizar imediatamente o Nginx UI para a versão 2.3.3 ou superior, que contém o patch oficial da CVE‑2026‑27944 e corrige tanto a falta de autenticação no /api/backup quanto a exposição das chaves de criptografia no cabeçalho X-Backup-Security.
Se a atualização não puder ser aplicada na hora, o mínimo é bloquear o acesso ao /api/backup e à interface do Nginx UI a partir de redes não confiáveis (Internet) via firewall, ACL ou reverse proxy, até concluir o patch.
Caso a solução imediata seja viável, ela resolve o problema. Continue lendo se quiser entender os detalhes.
Resumo técnico da vulnerabilidade
O Nginx UI expõe um endpoint de backup em /api/backup, concebido originalmente para que administradores autenticados baixem backups criptografados do sistema.
Em versões anteriores à 2.3.3, este endpoint pode ser acessado sem qualquer autenticação, caracterizando um caso clássico de Missing Authentication for Critical Function (CWE-306).
Além da ausência de autenticação, o endpoint retorna no cabeçalho HTTP X-Backup-Security as informações necessárias para decriptar o backup (chaves/segredo de criptografia), o que neutraliza totalmente a proteção oferecida pela criptografia aplicada ao arquivo.
Na prática, um atacante precisa apenas enviar uma requisição HTTP para /api/backup, receber o arquivo de backup e ler a chave de descriptografia no cabeçalho da resposta para ter acesso imediato a todos os dados sensíveis contidos ali.
De acordo com os advisories públicos, o backup pode conter:
- Credenciais de usuários do Nginx UI.
- Tokens de sessão.
- Chaves privadas SSL/TLS.
- Arquivos de configuração do Nginx.
- Demais segredos e parâmetros sensíveis do ambiente.
Impacto
O impacto é crítico em qualquer cenário em que o Nginx UI esteja acessível a partir de redes não confiáveis (por exemplo, exposto diretamente à Internet).
Um comprometimento via CVE-2026-27944 tende a resultar em comprometimento completo da instância de Nginx UI e potencialmente dos serviços HTTP(s) servidos pelo Nginx, uma vez que chaves privadas e configurações podem ser reutilizadas para ataques de hijack, impersonation e movimento lateral.
Como já existe código de prova de conceito público para exploração, o nível de risco aumenta e a janela entre divulgação e exploração em massa tende a ser curta.
Versões afetadas e correção
- Produto afetado: Nginx UI (0xJacky/nginx-ui).
- Versões vulneráveis: todas as versões anteriores à 2.3.3.
- Versão corrigida: 2.3.3, na qual o endpoint
/api/backuppassa a exigir autenticação adequada e deixa de expor as chaves de criptografia no cabeçalho de resposta.
Os mantenedores recomendam atualização imediata para a versão 2.3.3; distribuições e fornecedores de appliances podem liberar patches ou backports específicos, portanto também é importante acompanhar os comunicados do seu fornecedor.
Relação com vulnerabilidades anteriores
Esta não é a primeira vez que o Nginx UI é alvo de vulnerabilidades severas: em 2024 foi divulgada a CVE-2024-22198, que permitia execução de comandos arbitrários autenticados ao abusar configurações expostas na página Home > Preference, como o parâmetro Terminal Start Command.
Embora esse bug exigisse autenticação (PR:L), ele mostrava um padrão de exposição de funções sensíveis via API, exploradas através de requisições diretas e não necessariamente pela UI, algo que volta a aparecer na CVE-2026-27944 com impacto ainda maior por ser não autenticada.
Referências:
- NVD (NIST) – Registro oficial da CVE-2026-27944
https://nvd.nist.gov/vuln/detail/CVE-2026-27944 - OpenCVE – Detalhes e timeline da CVE-2026-27944
https://app.opencve.io/cve/CVE-2026-27944 - CIRCL – CVE-2026-27944 (Vulnerability-Lookup)
https://cve.circl.lu/vuln/CVE-2026-27944
Adriano Mauro Cansian, Doutor em Física Computacional e Professor Associado e pesquisador da UNESP – Universidade Estadual Paulista, possui 30 anos de experiência em pesquisa, desenvolvimento e ensino de segurança cibernética. Fundador e coordenador do Laboratório ACME! Cybersecurity Research, e revisor das revistas “Computers & Security” e “International Journal of Forensic Computer Science“, consultor e membro de vários comitês e organizações técnicas para promover a pesquisa em segurança da informação, além de atuar como voluntário em organizações de governança da Internet.