首页 > 安全研究 > 安全通报 > 安全通告

【漏洞通告】nginx-ui 未授权备份下载与加密密钥泄露漏洞(CVE-2026-27944)

发布时间 2026-03-09

一、漏洞概述


漏洞名称

nginx-ui 未授权备份下载与加密密钥泄露漏洞

CVE   ID

CVE-2026-27944

漏洞类型

未授权访问

发现时间

2026-3-9

漏洞评分

9.8

漏洞等级

严重

攻击向量

网络

所需权限

利用难度

用户交互

不需要

PoC/EXP

已公开

在野利用

未发现


nginx-ui是一款用于管理Nginx的开源Web可视化管理工具,提供基于浏览器的图形化界面,用于配置和维护Nginx服务器。该项目支持站点配置管理、证书管理、日志查看、配置文件编辑及在线重载等功能,旨在简化Nginx的运维和管理流程。nginx-ui通常部署在服务器上,通过Web控制台实现对Nginx配置和运行状态的集中管理。


2026年3月9日,启明星辰安全应急响应中心(VSRC)监测到nginx-ui未授权备份下载与加密密钥泄露漏洞。由于/api/backup接口未配置身份认证机制,远程攻击者可在无需登录的情况下直接访问该接口并下载系统完整备份文件。同时,服务器在响应头X-Backup-Security中以明文形式返回用于解密备份的AES-256加密密钥和IV,导致备份数据的加密保护失效。攻击者可利用该密钥对下载的备份文件进行解密,从而获取数据库信息、用户凭据、会话令牌、Nginx配置文件以及SSL私钥等敏感数据,造成严重信息泄露风险,并可能进一步引发账户接管、服务伪造或系统配置被滥用等安全影响。


二、影响范围


nginx-ui < 2.3.2


三、安全措施


3.1 升级版本


官方已发布修复补丁,以修复该漏洞。
nginx-ui >= 2.3.3


下载链接:https://github.com/0xJacky/nginx-ui/releases/


3.2 临时措施


暂无。


3.3 通用建议


• 定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
• 加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
• 使用企业级安全产品,提升企业的网络安全性能。
• 加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
• 启用强密码策略并设置为定期修改。


3.4 参考链接


https://github.com/0xJacky/nginx-ui/security/advisories/GHSA-g9w5-qffc-6762/
https://nvd.nist.gov/vuln/detail/CVE-2026-27944
上一篇 下一篇