Miffyaa

**Nome do Software Vulnerável e Versões Afetadas** Nginx UI versões anteriores a 2.3.5 **Descrição** Um usuário autenticado pode realizar Server-Side Request Forgery (SSRF) ao criar um nó de cluster que aponta para uma URL interna arbitrária e enviar solicitações de API com o cabeçalho `X-Node-ID`. O middleware Proxy, especificamente na função `Proxy()` em `internal/middleware/proxy.go`, intercepta essas solicitações e as encaminha para o endereço interno especificado sem validar a URL do nó. Isso permite que invasores ignorem a segmentação de rede e acessem serviços vinculados ao localhost, redes internas ou endpoints de metadados de nuvem. O processo envolve a recuperação do `node secret` através do endpoint '/api/settings' e a criação de um nó malicioso via endpoint '/api/nodes'. **Recomendações** Atualize para uma versão posterior a 2.3.4.