漏洞介绍:

Nginx UI 是一款由开发者 0xjacky、hintay 和 akino 共同开发的 Nginx Web 管理界面，在 GitHub 上获得超过 10.8k 星标，支持通过 Docker、系统服务或二进制文件部署，旨在简化 Nginx 配置管理，提供可视化配置 Nginx、证书管理、日志查看、集群管理等功能。

漏洞影响:

该漏洞源于/api/backup 端点无需身份验证即可访问，并在 X-Backup-Security 响应头中泄露了解密备份所需的加密密钥。攻击者能够下载服务器敏感数据(用户凭据、会话令牌、SSL 私钥、Nginx 配置)的完整系统备份并解密。

漏洞编号：CVE-2026-27944

漏洞等级：高危

漏洞类型：信息泄露

全球分布：

title="Nginx UI"

漏洞复现:

攻击者向直接访问backup接口，即可下载备份文件，并在返回头中查看密钥。

修复建议：

安全更新

官方已发布安全补丁，请及时更新至最新版本：

Nginx UI >= 2.3.3

下载地址：

https://github.com/0xJacky/nginx-ui/releases/