Os administradores que usam a interface da web Nginx UI para servidores da web baseados em nginx devem atualizar o software o mais rápido possível. Se isso não acontecer, os invasores podem visar diversas falhas de segurança e, na pior das hipóteses, comprometer completamente o sistema.
Leia mais depois do anúncio
Ataques de administrador são possíveis
A vulnerabilidade (CVE-2026-42238) é considerada “crítico“Como o ponto de recuperação de backup pode ser acessado por dez minutos sem autenticação a cada nova instalação e a cada reinicialização, um invasor remoto pode fazer upload de um backup manipulado. Ao fazer isso, ele pode acessar os arquivos de configuração app.ini substitua com seu próprio comando e obtenha controle total sobre o incidente.
Explorou com sucesso outra vulnerabilidade (CVE-2026-42221 “esse“), um invasor pode sequestrar a conta de administrador durante a configuração inicial. Isso deve ser possível sem autenticação.
As vulnerabilidades restantes poderiam, entre outras coisas, vazar dados confidenciais (CVE-2026-42223 “médio“). O desenvolvedor garante que há problemas de segurança no IU Nginx 2.3.8 foi resolvido. Até agora, não houve nenhuma indicação do fabricante do software de que os invasores tenham explorado a vulnerabilidade. No entanto, os administradores não devem atrasar a aplicação do patch por muito tempo. Os administradores podem encontrar mais informações sobre falhas de segurança e como os ataques podem ocorrer na mensagem de aviso vinculada abaixo desta mensagem.
Os desenvolvedores fecharam recentemente lacunas críticas nas ferramentas de gerenciamento da web.
Lista de vulnerabilidades, classificadas por nível de ameaça em ordem decrescente:
Leia mais depois do anúncio
(de)
