🔍 Contexte

Rapid7 a publié le 16 avril 2026 une alerte de sécurité concernant CVE-2026-33032, une vulnérabilité critique affectant Nginx UI, une interface web open-source de gestion centralisée des configurations Nginx et des certificats SSL.

🐛 Description de la vulnérabilité

  • Type : Authentification manquante (Missing Authentication)
  • Score CVSS : 9.8 (critique)
  • Composant exposé : Serveur Model Context Protocol (MCP) intégré à Nginx UI
  • Condition d’exploitation : La configuration par défaut de la liste blanche IP autorise tout accès distant au serveur MCP
  • Impact : Un attaquant non authentifié peut exécuter des opérations privilégiées sur les serveurs Nginx gérés, aboutissant à un contrôle total du service Nginx

📅 Chronologie

  • Début mars 2026 : Découverte par Yotam Perkal (chercheur chez Pluto Security)
  • 15 mars 2026 : Patch publié + blog technique de Pluto Security
  • 30 mars 2026 : Advisory de sécurité officiel publié
  • 13 avril 2026 : Recorded Future signale une exploitation active in the wild
  • 16 avril 2026 : Publication de l’alerte Rapid7

🎯 Versions affectées

  • Selon le chercheur : versions 2.3.3 et antérieures (correctif en 2.3.4)
  • Selon l’enregistrement CVE officiel : versions 2.3.5 et antérieures
  • Version recommandée pour remédiation : 2.3.6 (dernière version disponible)

📌 Type d’article

Alerte de sécurité publiée par Rapid7, visant à informer les utilisateurs de Nginx UI de l’existence d’une exploitation active et à orienter vers la mise à jour corrective.

🧠 TTPs et IOCs détectés

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1078 — Valid Accounts (Defense Evasion)

IOC

  • CVEs : CVE-2026-33032NVD · CIRCL

🔗 Source originale : https://www.rapid7.com/blog/post/etr-cve-2026-33032-nginx-ui-missing-mcp-authentication/