CVE-2026-33031

Name of the Vulnerable Software and Affected Versions Nginx UI versões anteriores a 2.3.4

Description Um usuário desativado por um administrador pode continuar usando tokens de API emitidos anteriormente até que o tempo de vida do token expire. Isso ocorre porque a autenticação baseada em token não verifica a variável user.Status, ao contrário do processo de login. Consequentemente, um invasor com um JSON Web Token (JWT) roubado — um meio compacto e seguro para URLs de representar reivindicações a serem transferidas entre duas partes — pode continuar lendo e modificando recursos protegidos. Além disso, como esses tokens podem ser usados para criar novas contas, um usuário desativado pode manter seus privilégios indefinidamente.

Recommendations Atualizar para a versão 2.3.4.