一、组件介绍

Nginx UI 是一款基于 Web 的图形化管理工具，旨在简化 Nginx 服务器的配置、管理和监控。

二、漏洞描述

近日，奇安信CERT监测到官方修复Nginx UI 信息泄露漏洞(CVE-2026-27944)，该漏洞源于/api/backup 端点无需身份验证即可访问，并在 X-Backup-Security 响应头中泄露了解密备份所需的加密密钥。攻击者能够下载服务器敏感数据（用户凭据、会话令牌、SSL 私钥、Nginx 配置）的完整系统备份并解密。目前该漏洞PoC和技术细节已公开。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

三、影响范围

Nginx UI < 2.3.3

四、复现情况

目前，奇安信威胁情报中心安全研究员已成功复现Nginx UI 信息泄露漏洞(CVE-2026-27944)，截图如下：

五、解决方案

官方已发布安全补丁，请及时更新至最新版本：Nginx UI >= 2.3.3

下载地址：https://github.com/0xJacky/nginx-ui/releases/