PT-2026-36920 · Nginx-Ui · Nginx-Ui

Lilmingwa13

·

Publicado

2026-04-21

·

Atualizado

2026-05-06

·

CVE-2026-42220

CVSS v2.0

6.8

Média

VetorAV:N/AC:L/Au:S/C:C/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas Nginx UI versões anteriores a 2.3.8
Descrição Um usuário autenticado pode acessar o endpoint 'GET /api/settings' para recuperar valores de configuração sensíveis, como node.secret. Este segredo é aceito pela função AuthRequired() por meio do cabeçalho 'X-Node-Secret' ou do parâmetro de consulta node secret, permitindo que as solicitações sejam tratadas como autenticadas via caminho de nó confiável (trusted-node path) e associadas ao usuário init.
Recomendações Atualizar para a versão 2.3.8.

Exploit

Correção

Information Disclosure

Incorrect Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-200CWE-863

Identificadores relacionados

BDU:2026-06342
CVE-2026-42220
GHSA-7JRR-XW9C-MJ39

Produtos afetados

Nginx-Ui