CVE-2026-33032 : Authentification manquante dans Nginx UI exploitée in the wild

Thu, 16 Apr 2026 00:00:00 +0000

🔍 Contexte

Rapid7 a publié le 16 avril 2026 une alerte de sécurité concernant CVE-2026-33032, une vulnérabilité critique affectant Nginx UI, une interface web open-source de gestion centralisée des configurations Nginx et des certificats SSL.

🐛 Description de la vulnérabilité

Type : Authentification manquante (Missing Authentication)
Score CVSS : 9.8 (critique)
Composant exposé : Serveur Model Context Protocol (MCP) intégré à Nginx UI
Condition d’exploitation : La configuration par défaut de la liste blanche IP autorise tout accès distant au serveur MCP
Impact : Un attaquant non authentifié peut exécuter des opérations privilégiées sur les serveurs Nginx gérés, aboutissant à un contrôle total du service Nginx

📅 Chronologie

Début mars 2026 : Découverte par Yotam Perkal (chercheur chez Pluto Security)
15 mars 2026 : Patch publié + blog technique de Pluto Security
30 mars 2026 : Advisory de sécurité officiel publié
13 avril 2026 : Recorded Future signale une exploitation active in the wild
16 avril 2026 : Publication de l’alerte Rapid7

🎯 Versions affectées

Selon le chercheur : versions 2.3.3 et antérieures (correctif en 2.3.4)
Selon l’enregistrement CVE officiel : versions 2.3.5 et antérieures
Version recommandée pour remédiation : 2.3.6 (dernière version disponible)

📌 Type d’article

Alerte de sécurité publiée par Rapid7, visant à informer les utilisateurs de Nginx UI de l’existence d’une exploitation active et à orienter vers la mise à jour corrective.

CVE-2026-33032 on CyberVeille

CVE-2026-33032 : Authentification manquante dans Nginx UI exploitée in the wild

🔍 Contexte

🐛 Description de la vulnérabilité

📅 Chronologie

🎯 Versions affectées

📌 Type d’article