Een kritieke kwetsbaarheid in de webgebaseerde beheerinterface Nginx UI (nginx-ui) is actief misbruikt door aanvallers om volledige controle over servers te verkrijgen. Nginx UI wordt gebruikt voor het beheren van de Nginx-webserver en heeft meer dan 11.000 sterren op GitHub, met mogelijk honderden duizenden implementaties wereldwijd.

De kwetsbaarheid, geregistreerd als CVE-2026-33032, werd recentelijk gepatcht in versie 2.3.4 en houdt verband met de recent toegevoegde AI-integratie (MCP) binnen Nginx UI. Onderzoekers van Pluto Security ontdekten de kwetsbaarheid en meldden deze verantwoord aan de ontwikkelaars in maart. Zij vonden meer dan 2.600 internet-blootgestelde exemplaren van Nginx UI. De onderzoekers toonden aan dat een niet-geauthenticeerde aanvaller met speciaal opgemaakte verzoeken de kwetsbaarheid kan misbruiken om Nginx-servers over te nemen. Technische details en een proof-of-concept exploitcode zijn openbaar beschikbaar.

Volgens threat intelligence bedrijf Recorded Future was CVE-2026-33032 een van de 31 hoog-impact kwetsbaarheden die in maart 2026 actief werden misbruikt, al is er geen publieke informatie over de aard van deze aanvallen bekend. In theorie kan een aanvaller via deze kwetsbaarheid netwerkverkeer onderscheppen, backdoors of kwaadaardige redirects plaatsen, verstoringen veroorzaken en gevoelige informatie stelen.

Yotam Perkal, directeur security research bij Pluto, verklaarde: "Dit is de tweede kritieke MCP-kwetsbaarheid die we dit jaar hebben gemeld, met nog meer in een gecoördineerde openbaarmaking. Het patroon is duidelijk: AI-integratiepunten bieden dezelfde mogelijkheden als de kernapplicatie, maar missen vaak de beveiligingscontroles."

CVE-2026-33032 is niet de enige kwetsbaarheid in Nginx UI die recentelijk is gemeld. Gebruikers werden ook gewaarschuwd voor CVE-2026-27944, waarmee niet-geauthenticeerde aanvallers back-updata kunnen downloaden, en CVE-2026-33030, die geauthenticeerde aanvallers toegang geeft tot, en wijziging of verwijdering van, resources van andere gebruikers.