## Nginx UI を介した認証なしの乗っ取り 脆弱性 **CVE-2026-33032** は、**nginx-ui** が `/mcp_message` エンドポイントを保護せずに残しているために存在します。これにより、リモート攻撃者は認証なしで特権 MCP アクションを呼び出すことができます。 これらのアクションには Nginx 設定ファイルの書き込みとリロードが含まれるため、単一の認証されていないリクエストでサーバーの動作を変更し、事実上ウェブサーバーの完全な制御を奪うことが可能です。 > 「ネットワーク上の攻撃者は、nginx の再起動、nginx 設定ファイルの作成/変更/削除、自動設定リロードのトリガーなど、すべての MCP ツールを認証なしで呼び出すことができます。これにより、nginx サービス全体を乗っ取ることが可能です」と、**NIST** は National Vulnerability Database (NVD) でこの脆弱性について説明しています。 ## パッチリリース、活発な悪用 **NGINX** は 3 月 15 日、研究者である **Pluto Security AI** が報告した翌日に、バージョン 2.3.4 でこの脆弱性の修正をリリースしました。しかし、脆弱性識別子、技術的な詳細、および概念実証（PoC）exploit は月末に公開されました。 最近の CVE Landscape レポートで、脅威インテリジェンス企業である **Recorded Future** は、**CVE-2026-33032** が現在活発に悪用されていると指摘しています。 **Nginx UI** は、**Nginx** ウェブサーバー向けの人気のウェブベース管理インターフェースであり、GitHub で 11,000 以上のスターを獲得し、Docker プルは 430,000 回に達しています。 ## 露出と攻撃ベクトル **Pluto Security** による **Shodan** エンジンを使用したインターネットスキャンによると、約 2,600 の公開されているインスタンスが脆弱である可能性があります。これらのほとんどは、中国、米国、インドネシア、ドイツ、香港に位置しています。 レポートの中で、**Pluto Security** の Yotam Perkal 氏は、悪用にはネットワークアクセスのみが必要であると詳述しています。これには、Server-Sent Events (SSE) 接続の確立、MCP セッションのオープン、そして返された `sessionID` を使用して `/mcp_message` エンドポイントにリクエストを送信することが含まれます。  この時点から、攻撃者は認証なしで MCP ツールを呼び出すことができます。 * ターゲットの nginx-ui インスタンスに接続する * 認証ヘッダーなしでリクエストを送信する * すべての 12 個の MCP ツール（うち 7 個は破壊的）にアクセスする * nginx 設定ファイルを読み取り、それを流出させる * 悪意のある設定を持つ新しい nginx サーバーブロックを注入する * 自動 nginx リロードをトリガーする **Pluto Security** のデモは、攻撃者が認証されていない MCP メッセージエンドポイントを利用して、特権 nginx 管理アクションを実行し、設定の注入を行い、最終的に認証なしで **Nginx** サーバーの制御を獲得する方法を示しています。 ## 緩和策 活発な悪用と PoC の公開を考慮すると、システム管理者は直ちに利用可能なセキュリティアップデートを適用することを強く推奨します。**nginx-ui** の最新のセキュアバージョンは、先週リリースされた 2.3.6 です。