Uma falha crítica de segurança recém-divulgada no nginx-ui, ferramenta open-source e web-based para gerenciamento de Nginx, já está sendo explorada ativamente na internet.
A vulnerabilidade, identificada como
CVE-2026-33032
, tem score CVSS de 9,8 e permite bypass de autenticação, o que pode dar a invasores controle total sobre o serviço Nginx.
O problema foi apelidado de MCPwn pela Pluto Security.
Segundo um aviso publicado no mês passado pelos mantenedores do nginx-ui, a integração MCP, baseada no Model Context Protocol, expõe dois endpoints HTTP: /mcp e /mcp_message.
Enquanto o endpoint /mcp exige whitelist de IP e autenticação por meio do middleware AuthRequired(), o /mcp_message aplica apenas a whitelist de IP.
Como o padrão da whitelist vem vazio, o middleware interpreta isso como allow all.
Na prática, isso significa que qualquer invasor na rede pode acionar todas as ferramentas MCP sem autenticação, incluindo reiniciar o nginx, criar, alterar ou excluir arquivos de configuração e disparar recarregamentos automáticos da configuração.
O resultado pode ser a tomada completa do serviço.
De acordo com o pesquisador Yotam Perkal, da Pluto Security, que identificou e reportou a falha, a exploração pode levar ao comprometimento total em segundos, com apenas duas requisições.
A primeira é um HTTP GET para o endpoint /mcp, usado para estabelecer uma sessão e obter um session ID.
A segunda é um HTTP POST para o endpoint /mcp_message, usando esse session ID para acionar qualquer ferramenta MCP sem autenticação.
Em outras palavras, o ataque pode ser executado enviando requisições HTTP especialmente elaboradas diretamente para o endpoint /mcp_message, sem headers de autenticação nem tokens.
Se a exploração for bem-sucedida, o invasor pode modificar arquivos de configuração do Nginx e recarregar o servidor.
Além disso, há risco de interceptação de tráfego e coleta de credenciais de administradores.
Após a divulgação responsável, a falha foi corrigida na versão 2.3.4, lançada em 15 de março de 2026.
Como medida temporária, os usuários são orientados a adicionar middleware.AuthRequired() ao endpoint /mcp_message para forçar autenticação.
Outra opção é alterar o comportamento padrão da allowlist de IP de allow-all para deny-all.
A divulgação ocorre no momento em que a Recorded Future incluiu a
CVE-2026-33032
em uma lista com 31 vulnerabilidades exploradas ativamente por agentes maliciosos em março de 2026.
Até agora, não há mais detalhes sobre a atividade de exploração relacionada a essa falha.
“Quando você acopla MCP a uma aplicação já existente, os endpoints MCP herdam toda a capacidade da aplicação, mas nem sempre seus controles de segurança.
O resultado é uma backdoor que ignora todos os mecanismos de autenticação com os quais a aplicação foi construída com cuidado”, afirmou Perkal.
Dados do Shodan mostram cerca de 2.689 instâncias expostas na internet, com a maior concentração na China, nos Estados Unidos, na Indonésia, na Alemanha e em Hong Kong.
“Considerando aproximadamente 2.600 instâncias publicamente acessíveis do nginx-ui identificadas por nossos pesquisadores, o risco para ambientes sem patch é imediato e real”, disse a Pluto.
“Organizações que usam nginx-ui devem tratar isso como uma emergência: atualizar imediatamente para a versão 2.3.4 ou desativar a funcionalidade MCP e restringir o acesso à rede como medida temporária.”
A divulgação da
CVE-2026-33032
acontece após a descoberta de duas falhas de segurança no servidor MCP da Atlassian, conhecido como mcp-atlassian, que podem ser encadeadas para viabilizar remote code execution.
As falhas, rastreadas como
CVE-2026-27825
, com score CVSS de 9,1, e
CVE-2026-27826
, com score CVSS de 8,2, foram apelidadas de MCPwnfluence e permitem que qualquer atacante na mesma rede local execute código arbitrário em uma máquina vulnerável sem autenticação.
“Quando encadeamos as duas vulnerabilidades, conseguimos enviar requisições para o MCP a partir da LAN, redirecionar o servidor para a máquina do atacante, enviar um attachment e então obter uma RCE completa e sem autenticação a partir da rede local”, informou a Pluto Security.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...