HIGH🇵🇱 Wersja polska

CVE-2026-44015

CVSS 8.5v3.1pub. 2026-05-12upd. 2026-05-14

Nginx UI is a web user interface for the Nginx web server. In 2.3.4 and earlier, an authenticated user can perform Server-Side Request Forgery (SSRF) by creating a cluster node pointing to an arbitrary internal URL and then sending API requests with the X-Node-ID header. The Proxy middleware forwards these requests to the attacker-specified internal address, bypassing network segmentation and enabling access to services bound to localhost or internal networks.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N
  • Nginxui nginx Ui

    APP
    Nginxui
    ≤ 2.3.4
🔵
CHECK WITH VENDOR
No clear patch data available. Check vendor references.
Tags
SSRF
CWE
References

Related vulnerabilities

CVE-2026-42238CRITICAL9.0PL ✓ten sam produkt

Nginx UI: nieuwierzytelnione RCE przez endpoint przywracania kopii zapasowej

CVE-2026-33032CRITICAL9.8PL ✓ten sam produkt

Nginx UI: nieuwierzytelniony dostęp do endpointu MCP umożliwia przejęcie serwera

CVE-2026-33026CRITICAL9.4PL ✓ten sam produkt

Nginx UI: manipulacja zaszyfrowanymi kopiami zapasowymi i wstrzyknięcie konfiguracji

CVE-2026-27944CRITICAL9.8PL ✓ten sam produkt

Nginx UI: nieuwierzytelniony dostęp do backupu z ujawnieniem kluczy szyfrowania

CVE-2024-23827CRITICAL9.8PL ✓ten sam produkt

Nginx-UI: path traversal w imporcie certyfikatów umożliwia RCE