En bref

  • CVE-2026-33032 : auth bypass critique dans nginx-ui (CVSS 9.8) exploitée en environnement de production.
  • Toutes les versions antérieures à 2.1.6 du panneau d'administration web nginx-ui sont concernées.
  • Mise à jour immédiate vers 2.1.6 et restriction de l'exposition publique du panneau.

Les faits

The Hacker News a confirmé le 24 avril 2026 que la vulnérabilité CVE-2026-33032, un contournement d'authentification touchant nginx-ui, faisait l'objet d'une exploitation active. La faille, notée 9.8 sur l'échelle CVSS, permet à un attaquant non authentifié de prendre le contrôle complet du service Nginx sous-jacent en passant outre les mécanismes de connexion du panneau de gestion. Selon les chercheurs ayant identifié le bug, l'authentification peut être bypassée via une requête forgée vers un endpoint d'API mal protégé, donnant accès à toutes les fonctions d'administration : édition de fichiers de configuration, redémarrage des workers, et exécution de scripts shell via la fonctionnalité de terminal intégré.

nginx-ui est largement déployé par les équipes DevOps qui souhaitent un contrôle visuel sur leurs reverse-proxies sans manipulation directe de fichiers. Sa surface d'attaque est d'autant plus problématique que la pratique courante consiste à l'exposer directement sur Internet, parfois derrière un simple basic auth ajouté en surcouche. Le projet a publié la version 2.1.6 corrigeant la faille le 23 avril, et recommande explicitement aux opérateurs de vérifier les logs d'accès pour détecter toute tentative d'exploitation antérieure au patch.

Impact et exposition

Une recherche Shodan indique plusieurs milliers d'instances nginx-ui exposées en clair sur le port 9000 ou derrière des reverse-proxies, principalement en Asie et en Europe. Les conditions d'exploitation sont triviales : aucune authentification préalable, aucune interaction utilisateur, et l'attaque peut être scriptée. Une fois la prise de contrôle effective, l'attaquant peut pivoter vers le serveur Nginx hôte via la fonction terminal, modifier les vhosts pour injecter du code malveillant dans les sites servis, ou exfiltrer les certificats SSL stockés.

Recommandations

  • Mettre à jour nginx-ui vers la version 2.1.6 sans délai, en priorisant les instances exposées publiquement.
  • Restreindre l'accès au panneau de gestion via VPN, bastion SSH ou liste blanche d'IP au niveau du firewall.
  • Examiner les logs nginx-ui et les fichiers de configuration pour détecter des modifications non autorisées : nouveaux upstreams, scripts injectés, nouveaux comptes administrateurs.
  • Faire tourner les certificats TLS et les secrets stockés dans le panneau si une compromission est suspectée.

Alerte critique

Toute instance nginx-ui exposée sur Internet et non patchée doit être considérée comme potentiellement compromise. Isoler immédiatement, auditer, puis réinstaller proprement.

Comment savoir si mon instance nginx-ui a été ciblée par CVE-2026-33032 ?

Examiner les logs HTTP pour des requêtes inhabituelles vers les endpoints /api/auth ou /api/system, particulièrement celles renvoyant un code 200 sans cookie de session valide en amont. La présence de fichiers de configuration modifiés dans /etc/nginx ou de nouveaux scripts dans les répertoires servis constitue un indicateur de compromission probable.

Le simple fait de mettre nginx-ui derrière un basic auth Nginx protège-t-il de la faille ?

Si le basic auth est correctement configuré au niveau du reverse-proxy en amont et qu'aucun chemin n'est laissé en accès anonyme, oui — temporairement. Mais cette défense est fragile : une erreur de configuration ou un endpoint oublié suffit à exposer la faille. Le patch reste indispensable.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Articles connexes :

Demander un audit