Falha crítica no Nginx UI (CVE-2026-27944) expõe backups de servidor
Aprofundamento CEVIU
Aprofundamento
A falha CVE-2026-27944 não é só uma brecha de autenticação: é um colapso duplo de segurança. O endpoint /api/backup responde sem exigir login, mas pior, devolve a chave AES-256 e o IV no cabeçalho X-Backup-Security, como se fosse um carimbo de aprovação. Isso anula toda a criptografia do backup antes mesmo de o atacante tentar descriptografar. A versão corrigida, 2.3.3, remove esse vazamento e impõe autenticação obrigatória nesse endpoint, mudança simples em código, mas crítica em impacto.
O EPSS de 0.05% parece baixo, mas engana: a vulnerabilidade exige zero interação do usuário e opera por rede, com CVSS 9.8. Em ambientes onde o Nginx UI está exposto à internet, mesmo que por acidente, como em testes ou homologações, a exploração é quase automática. Já há relatos de varreduras ativas buscando o endpoint /api/backup em escaneamentos de superfície digital desde 7 de março, segundo dados do IONIX.
Por que isso importa
Empresas que usam Nginx UI para gerenciar servidores web estão sob risco imediato de comprometimento completo: não só da interface de administração, mas de toda a infraestrutura mapeada por ela. Um único backup vazio pode entregar chaves SSL, senhas de banco de dados e tokens de sessão válidos por horas, o suficiente para pivotar para outros sistemas. Diferente de falhas que exigem cadeia de erros, aqui basta um GET não autenticado. A mitigação não é só atualizar: é isolar a interface de gerenciamento, revogar credenciais antigas e auditar logs atrás de acessos ao endpoint desde janeiro, pois ataques podem ter começado antes da divulgação oficial.
Perguntas frequentes
Como saber se meu ambiente está vulnerável?
Verifique a versão do Nginx UI instalada. Se for anterior à 2.3.3, está exposta. Também teste manualmente com curl -I http://[seu-servidor]/api/backup: se retornar status 200 e o cabeçalho X-Backup-Security, o sistema é vulnerável, mesmo que não haja backup configurado.
Atualizar para a versão 2.3.3 resolve tudo?
Sim, a correção é eficaz: a nova versão exige autenticação no endpoint e retira a chave do cabeçalho. Mas atenção: se o sistema já foi exposto, suponha que todas as credenciais listadas na descrição (chaves SSL, senhas de BD, tokens) foram roubadas. Atualizar sozinho não apaga o dano, é preciso rotação imediata desses segredos.
Posso deixar o Nginx UI exposto com IP allowlisting em vez de atualizar?
Não é seguro. Allowlisting reduz a superfície, mas não elimina o risco de exploração via IPs autorizados comprometidos ou configurações mal feitas. A vulnerabilidade permite criar novos usuários administradores, ou seja, um atacante que entre por outro vetor pode usar o endpoint para elevar privilégios. Atualização + isolamento é a única combinação confiável.
Fontes
- securityaffairs.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 10 de março de 2026
- Editoria
- CEVIU Segurança da Informação
