CVE-2026-42221

Nome do Software Vulnerável e Versões Afetadas Nginx UI versões 2.0.0 até 2.3.7

Descrição Um invasor de rede não autenticado pode reivindicar a conta de administrador inicial em uma instância nova durante a janela de configuração da primeira execução. O endpoint público "/api/install" está acessível sem autenticação. Embora o fluxo de criptografia de requisição garanta a confidencialidade do payload durante o trânsito, ele não autentica o usuário que está realizando a instalação. Um invasor remoto que acesse o serviço antes do operador legítimo pode definir o e-mail, nome de usuário e senha do administrador, resultando na tomada permanente de controle da instância inicial.

Recomendações Atualizar para a versão 2.3.8.