Objavljen javni PoC za nginx-ui propust u restore mehanizmu
Objavljen je javni proof-of-concept za ranjivost CVE-2026-33026 u nginx-ui alatu, koja pogađa mehanizam za vraćanje backup fajlova. Problem nastaje zato što aplikacija klijentu otkriva materijal za enkripciju i proveru integriteta, pa napadač može da izmeni sadržaj backupa, ponovo izračuna hash vrednosti i pošalje zlonamerni paket na restore. Time se otvara put do izvršavanja proizvoljnih komandi na host sistemu i potpune kompromitacije nginx-ui okruženja.
Pojašnjenje
Kod ovakvog propusta problem nije samo u backup fajlu, vec u tome sto sam proces obnove postaje kanal za napad. Kada je javni PoC vec dostupan, prag za zloupotrebu pada i za manje sposobne napadace, pa neazurirane instalacije brzo postaju laksa meta.
Preporuke
- Odmah azurirati nginx-ui na verziju 2.3.4
- Proveriti da li je bilo sumnjivih restore aktivnosti i neocekivanih izmena konfiguracije
- Ograniciti ko moze da pravi i vraca backup fajlove kroz nginx-ui
- Uvesti proveru integriteta koja ne zavisi od podataka dostupnih klijentu
- Tretirati ovu zakrpu kao hitnu ako je nginx-ui izlozen ili dostupan vecem broju administratora