Falha crítica no Nginx UI (CVE-2026-27944) expõe backups de servidor

A vulnerabilidade CVE-2026-27944 (CVSS 9.8) no Nginx UI expõe o endpoint não autenticado `/api/backup` ️, vazando a chave de criptografia AES-256 e o IV através do cabeçalho de resposta `X-Backup-Security`. Isso permite a descriptografia completa de backups sem credenciais. Uma exploração bem-sucedida concede credenciais de administrador, tokens de sessão, chaves privadas SSL, configurações do Nginx e segredos de banco de dados, dando aos atacantes controle total sobre a interface de gerenciamento e a infraestrutura mapeada. Um PoC está disponível . As organizações devem restringir as interfaces de gerenciamento a redes privadas ou VPNs e aplicar IP allowlisting e MFA (autenticação multifator) .