CVE-2026-44015

Nome do Software Vulnerável e Versões Afetadas Nginx UI versões anteriores a 2.3.5

Descrição Um usuário autenticado pode realizar Server-Side Request Forgery (SSRF) ao criar um nó de cluster que aponta para uma URL interna arbitrária e enviar solicitações de API com o cabeçalho X-Node-ID. O middleware Proxy, especificamente na função Proxy() em internal/middleware/proxy.go, intercepta essas solicitações e as encaminha para o endereço interno especificado sem validar a URL do nó. Isso permite que invasores ignorem a segmentação de rede e acessem serviços vinculados ao localhost, redes internas ou endpoints de metadados de nuvem. O processo envolve a recuperação do node secret através do endpoint '/api/settings' e a criação de um nó malicioso via endpoint '/api/nodes'.

Recomendações Atualize para uma versão posterior a 2.3.4.