一個嚴重的 Nginx UI 漏洞已被攻擊者利用，該漏洞允許攻擊者完全控制伺服器。Nginx UI (nginx-ui) 是一個基於 Web 的 Nginx Web 伺服器管理介面，它在 GitHub 上擁有 11,000 個 star，可用於管理數十萬個部署。

該軟體受編號為 CVE-2026-33032 的漏洞影響，該漏洞已在 2.3.4 版本中修復。該問題與 Nginx UI 最近新增的 AI (MCP) 整合有關。Pluto Security 的研究人員在 3 月發現了漏洞，該公司報告稱，已發現超過 2600 個暴露在網路上的實例。

威脅情報公司 Recorded Future最近報告稱，CVE-2026-33032 是其在 2026 年 3 月觀察到的 31 個在實際環境中被利用的高影響漏洞之一。然而，目前似乎沒有任何關於這些攻擊性質的公開資訊。

理論上，威脅行為者可以利用該漏洞攔截流量、部署後門或惡意重定向、造成乾擾並竊取敏感資訊。 Pluto安全研究總監Yotam Perkal表示：「這是我們今年披露的第二個關鍵MCP漏洞，還有更多漏洞正在協調披露中。漏洞模式一貫如此——AI集成端點暴露的功能與核心應用程序相同，但通常會繞過其安全控制。」

CVE-2026-33032並非近幾個月來揭露的唯一Nginx UI漏洞。用戶也被告知CVE-2026-27944和CVE-2026-33030存在漏洞。 CVE-2026-27944可被利用進行未經驗證的備份資料下載，而CVE-2026-33030則允許已透過驗證的攻擊者存取、修改和刪除其他使用者的資源。

資料來源：https://www.securityweek.com/exploited-vulnerability-exposes-nginx-servers-to-hacking/