一、漏洞详情

Nginx UI是一款基于Web的图形化管理工具。

近日，监测到官方修复Nginx UI信息泄露漏洞（CVE-2026-27944），该漏洞源于/api/backup端点无需身份验证即可访问，并在X-Backup-Security响应头中泄露了解密备份所需的加密密钥。攻击者能够下载服务器敏感数据（用户凭据、会话令牌、SSL私钥、Nginx 配置）的完整系统备份并解密。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

Nginx UI < 2.3.3

三、修复建议

官方已发布安全补丁，请及时更新至最新版本：

Nginx UI >= 2.3.3