Una equivocación de seguridad crítica recientemente revelada que afecta a nginx-ui, una utensilio de establecimiento de Nginx de código rajado basada en web, ha sido objeto de explotación activa en la naturaleza.
La vulnerabilidad en cuestión es CVE-2026-33032 (puntuación CVSS: 9,8), una vulnerabilidad de omisión de autenticación que permite a los actores de amenazas tomar el control del servicio Nginx. ha sido reputado en esencia MCPwn por Plutón Seguridad.
“La integración de nginx-ui MCP (Protocolo de contexto maniquí) expone dos puntos finales HTTP: /mcp y /mcp_message”, según un aviso publicado por los mantenedores de nginx-ui el mes pasado. “Si perfectamente /mcp requiere tanto la relación blanca de IP como la autenticación (middleware AuthRequired()), el punto final /mcp_message solo aplica la relación blanca de IP, y la relación blanca de IP predeterminada está vacía, lo que el middleware comercio como ‘permitir todo'”.
“Esto significa que cualquier atacante de red puede invocar todas las herramientas MCP sin autenticación, incluido reiniciar nginx, crear/modificar/eliminar archivos de configuración de nginx y activar recargas automáticas de configuración, logrando la toma completa del servicio nginx”.
Según el investigador de Pluto Security, Yotam Perkal, quien identificó e informó la equivocación, el ataque puede proporcionar una toma de control total en segundos a través de dos solicitudes:
- Una solicitud HTTP GET al punto final /mcp para establecer una sesión y obtener un ID de sesión.
- Una solicitud HTTP POST al punto final /mcp_message utilizando el ID de sesión para invocar cualquier utensilio MCP sin autenticación
En otras palabras, los atacantes pueden utilizar esta vulnerabilidad enviando solicitudes HTTP especialmente diseñadas directamente al punto final “/mcp_message” sin encabezados ni tokens de autenticación.
La explotación exitosa de la equivocación podría permitirles invocar herramientas MCP, modificar los archivos de configuración de Nginx y recargar el servidor. Encima, un atacante podría utilizar esta falta para interceptar todo el tráfico y resumir las credenciales de administrador.
Tras una divulgación responsable, la vulnerabilidad se solucionó en la lectura 2.3.4, puyazo el 15 de marzo de 2026. Como decisión alternativa, se recomienda a los usuarios adicionar “middleware.AuthRequired()” al punto final “/mcp_message” para forzar la autenticación. Alternativamente, se recomienda cambiar el comportamiento predeterminado de la relación de direcciones IP permitidas de “permitir todo” a “rebotar todo”.
La divulgación se produce cuando Recorded Future, en un referencia publicado esta semana, enumeró CVE-2026-33032 como una de las 31 vulnerabilidades que han sido explotadas activamente por actores de amenazas en marzo de 2026. Actualmente no hay información sobre la actividad de explotación asociada con la equivocación de seguridad.
“Cuando se incorpora MCP a una aplicación existente, los puntos finales de MCP heredan todas las capacidades de la aplicación, pero no necesariamente sus controles de seguridad. El resultado es una puerta trasera que evita todos los mecanismos de autenticación con los que se creó cuidadosamente la aplicación”, dijo Perkal.
Los datos de Shodan muestran que hay más o menos de 2.689 casos expuestos en Internet, la mayoría de ellos ubicados en China, Estados Unidos, Indonesia, Alemania y Hong Kong.
“Dadas las aproximadamente 2.600 instancias de nginx-ui accesibles públicamente que identificaron nuestros investigadores, el aventura de implementaciones sin parches es inmediato y efectivo”, dijo Pluto a The Hacker News. “Las organizaciones que ejecutan nginx-ui deberían tratar esto como una emergencia: poner al día a la lectura 2.3.4 inmediatamente o desactivar la funcionalidad MCP y restringir el paso a la red como medida provisional”.
La comunicado de CVE-2026-33032 sigue al descubrimiento de dos fallos de seguridad en el servidor MCP de Atlassian (“mcp-atlassian”) que podrían encadenarse para conquistar la ejecución remota de código. Las fallas, rastreadas como CVE-2026-27825 (CVSS 9.1) y CVE-2026-27826 (CVSS 8.2) y denominadas MCPwnfluence, permiten a cualquier atacante en la misma red regional ejecutar código infundado en una máquina pasivo sin requerir ninguna autenticación.
“Al encadenar ambas vulnerabilidades, podemos mandar solicitudes al MCP desde la LAN (red de ámbito regional), redirigir el servidor a la máquina atacante, cargar un archivo adjunto y luego percibir un RCE completo no autenticado desde la LAN”, dijo Pluto Security.
