文章总结： NginxUI存在严重漏洞CVE-2026-27944，CVSS评分9.8。攻击者无需认证即可通过/api/backup端点下载并解密系统备份，导致凭据、SSL私钥等敏感信息泄露。漏洞源于缺乏认证和响应头泄露加密密钥。建议限制管理接口暴露，使用VPN或IP白名单，并加强安全审计。 综合评分： 82 文章分类： 漏洞预警,WEB安全,漏洞分析

Nginx UI 严重漏洞 CVE-2026-27944暴露服务器备份信息

会杀毒的单反狗 会杀毒的单反狗

军哥网络安全读报

2026年3月9日 09:00 湖北

导读

Nginx UI 中存在一个严重漏洞，编号为CVE-2026-27944（CVSS 评分为 9.8），攻击者可以利用该漏洞在未经身份验证的情况下下载并解密完整的服务器备份。该漏洞对暴露管理界面的组织构成严重风险，可能导致敏感配置数据、凭据和加密密钥泄露。

“该 /api/backup 端点无需身份验证即可访问，并在响应头中泄露了解密备份所需的加密密钥 X-Backup-Security 。”安全公告指出，“未经身份验证的攻击者可以下载包含敏感数据（用户凭据、会话令牌、SSL 私钥、Nginx 配置）的完整系统备份，并立即对其进行解密。”

该漏洞源于两个主要缺陷：/api/backup 端点缺乏身份验证，允许任何人请求完整的系统备份；服务器在 HTTP 响应头中暴露了 AES-256 加密密钥和初始化向量 (IV)。因此，攻击者可以下载并立即解密包含凭据、配置文件、数据库和 SSL 私钥的备份，从而暴露整个 Nginx 环境。

Nginx UI 是一个基于 Web 的管理控制面板，旨在简化 Nginx 服务器的管理。管理员无需通过命令行文件配置 Nginx，即可使用图形界面来管理服务器、监控性能和更新配置。

该安全公告包含针对此漏洞的概念验证 (PoC) 利用代码。

该漏洞一旦被利用，后果可能十分严重，因为完整的 Nginx UI 备份包含大量敏感的运行数据。

一旦解密，攻击者即可获取管理员凭据和会话令牌，从而控制管理界面、篡改配置、重定向流量或部署恶意规则。

该备份文件还可能包含私钥，从而导致网站冒充或中间人攻击。此外，数据库凭据和配置文件也可能泄露应用程序机密信息和用户数据。

Nginx 配置文件也可能泄露内部基础设施的详细信息，例如反向代理路由、上游服务和虚拟主机，从而使攻击者能够清晰地了解组织的 Web 环境。

该漏洞凸显了一个关键的安全原则：管理接口绝不应暴露于公共互联网。组织应限制通过专用网络、VPN 或安全隧道进行访问。

诸如 IP 地址白名单、多因素身份验证和网络分段等额外保护措施可以进一步降低风险。定期对 API 和管理端点进行安全审查也至关重要，因为即使是微小的设计缺陷也可能造成严重的安全漏洞。

由于 Nginx 在现代基础设施中被广泛使用，因此像 Nginx UI 这样的管理工具中的漏洞可能很快演变成严重的威胁。确保这些工具的安全性并定期更新对于保护服务器及其处理的敏感数据至关重要。

安全漏洞公告：

https://github.com/0xJacky/nginx-ui/security/advisories/GHSA-g9w5-qffc-6762

新闻链接：

Critical Nginx UI flaw CVE-2026-27944 exposes server backups

今日安全资讯速递

APT事件

Advanced Persistent Threat

APT36 利用人工智能生成的“Vibeware”恶意软件和谷歌表格攻击印度政府网络

https://www.cysecurity.news/2026/03/apt36-uses-ai-generated-vibeware.html

伪装成紧急警报应用程序的间谍软件被发送到以色列人手机上

https://www.theregister.com/2026/03/06/spyware_disguised_as_emergency_alert/

间谍软件丑闻席卷欧洲

Italian prosecutors confirm journalist was hacked with Paragon spyware

Dust Specter 使用新型 SPLITDROP 和 GHOSTFORM 恶意软件攻击伊拉克官员

https://thehackernews.com/2026/03/dust-specter-targets-iraqi-officials.html

疑似朝鲜威胁组织通过协同攻击入侵加密货币公司，窃取密钥和云资产

Suspected DPRK Threat Actors Compromise Crypto Firms, Steal Keys and Cloud Assets in Coordinated Attacks

黑客利用新型恶意软件工具包攻击南美电信公司

https://blog.talosintelligence.com/uat-9244/

俄罗斯APT组织利用BadPaw和MeowMeow恶意软件攻击乌克兰

Russian APT targets Ukraine with BadPaw and MeowMeow malware

一般威胁事件

General Threat Incidents

微软：黑客在网络攻击的各个阶段滥用人工智能

https://www.bleepingcomputer.com/news/security/microsoft-hackers-abusing-ai-at-every-stage-of-cyberattacks/

多阶段 VOID#GEIST 恶意软件传播 XWorm、AsyncRAT 和 Xeno RAT

https://thehackernews.com/2026/03/multi-stage-voidgeist-malware.html

虚假 Claude Code 安装指南会通过 InstallFix 攻击推送信息窃取程序

https://www.bleepingcomputer.com/news/security/fake-claude-code-install-guides-push-infostealers-in-installfix-attacks/

Termite勒索软件入侵事件与ClickFix CastleRAT攻击有关

https://www.bleepingcomputer.com/news/security/termite-ransomware-breaches-linked-to-clickfix-castlerat-attacks/

大规模 GitHub 恶意软件行动传播 BoryptGrab 窃取程序

Massive GitHub malware operation spreads BoryptGrab stealer

FBI警告：过时的Wi-Fi路由器正成为恶意软件和僵尸网络攻击的目标

https://www.cysecurity.news/2026/03/fbi-warns-outdated-wi-fi-routers-are.html

超过 100 个 GitHub 仓库分发了 BoryptGrab Stealer

https://www.securityweek.com/over-100-github-repositories-distributing-boryptgrab-stealer/

恶意 imToken Chrome 扩展程序被发现窃取助记词和私钥

Malicious imToken Chrome Extension Caught Stealing Mnemonics and Private Keys

黑客利用思科 SD-WAN 管理器中的两个漏洞

https://www.cysecurity.news/2026/03/hackers-exploit-two-vulnerabilities-in.html

漏洞事件

Vulnerability Incidents

OpenAI Codex 安全团队扫描了 120 万次提交，发现了 10561 个高危风险

https://thehackernews.com/2026/03/openai-codex-security-scanned-12.html

Anthropico 使用 Claude Opus 4.6 AI 模型发现了 Firefox 的 22 个漏洞

https://thehackernews.com/2026/03/anthropic-finds-22-firefox.html

AVideo平台中的关键零点击命令注入漏洞允许流媒体劫持

Critical Zero-Click Command Injection in AVideo Platform Allows Stream Hijacking

Nginx UI 存在严重漏洞 CVE-2026-27944，暴露服务器备份信息

Critical Nginx UI flaw CVE-2026-27944 exposes server backups

OpenAI 的 Codex Security 在代码扫描中标记出超过 10,000 个高风险漏洞

https://www.cysecurity.news/2026/03/openais-codex-security-flags-over-10000.html

黑客涉嫌出售针对 Windows 远程桌面服务0day漏洞（CVE-2026-21533）的攻击程序

Hackers Allegedly Selling Exploit for Windows Remote Desktop Services 0-Day Flaw

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗 会杀毒的单反狗《Nginx UI 严重漏洞 CVE-2026-27944暴露服务器备份信息》