一、漏洞详情

Nginx UI是一款开源的、基于Web的图形化管理工具，旨在通过直观的界面彻底简化Nginx 服务器的配置与管理。

近日，监测到一则Nginx UI组件存在信息泄露漏洞（CVE-2026-27944）。Nginx UI存在信息泄露漏洞，由于/api/backup接口缺失身份验证，导致任何未经授权的攻击者都可以直接下载系统的完整加密备份。并且该接口在响应的X-Backup-Security头中明文泄露了用于加密的AES-256密钥和初始化向量(IV)。这使得攻击者能够立即解密下载的备份文件，从而获取其中包含的管理员凭据、SSL 私钥、数据库信息、Nginx 配置以及会话令牌等所有核心敏感数据，最终可能导致服务器被完全接管。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

目前受影响的Nginx UI版本：

Nginx UI < 2.3.3

三、修复建议

官方已发布最新版本修复该漏洞，建议受影响用户更新到2.3.3版本。