Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Ejecución de código remoto en Nginx-UI de Nginx

Fecha de publicación 07/05/2026
Identificador
INCIBE-2026-330
Importancia
5 - Crítica
Recursos Afectados

Versiones de Nginx-UI inferiores a la 2.3.8.

Descripción

Captain99hook ha descubierto una vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir a un atacante la ejecución remota de código.

Solución

El fabricante recomienda actualizar a la versión 2.3.8.

Detalle

CVE-2026-42238: ejecución remota de código debido a que exponen un endpoint de restauración de copias de seguridad (POST /api/restore) que no requiere autenticación durante los primeros 10 minutos después del inicio del proceso en cualquier instalación nueva. Un atacante remoto, no autenticado, puede cargar un archivo de copia de seguridad  manipulado que sobrescribe el archivo de configuración de la aplicación (app.ini) y la base de datos de SQLite. Dado que el atacante controla el archivo app.ini restaurado, podría realizar ejecución de código remoto en la configuración de TestConfigCmd

El periodo de los 10 minutos sin autenticación se restablece con cada reinicio del proceso, lo que permite explotar esta vulnerabilidad no solo en las implementaciones iniciales, sino también en cualquier evento de reinicio (actualización, reinicio de contenedor).

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-42238 Crítica No Nginx
Listado de referencias
Nginx-UI is Vulnerable to Unauthenticated Remote Code Execution via Backup Restore
Etiquetas