Nginx UI TeamのNginx UIにおける複数の脆弱性
| Title |
Nginx UI TeamのNginx UIにおける複数の脆弱性
|
| Summary |
Nginx UIはNginxウェブサーバーのためのウェブユーザーインターフェースです。バージョン2.3.4以前では、管理者によって無効化されたユーザーが、トークンの有効期限が切れるまで以前に発行されたAPIトークンを使用することができました。実際には、侵害されたアカウントを無効化しても、そのユーザーのアクセスが実際に終了するわけではないため、すでにJWTを盗んだ攻撃者はアカウントが無効化された後も保護されたリソースの読み取りや変更を続けることが可能でした。トークンは新しいアカウントを作成するためにも使用できるため、無効化されたユーザーが特権を維持する可能性があります。この問題はバージョン2.3.4で修正されました。
|
| Possible impacts |
当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
April 20, 2026, midnight |
| Registration Date |
April 24, 2026, 11:31 a.m. |
| Last Update |
April 24, 2026, 11:31 a.m. |
|
CVSS3.0 : 重要
|
| Score |
8.1
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年04月24日]
掲載 |
April 24, 2026, 11:31 a.m. |
NVD Vulnerability Information
CVE-2026-33031
| Summary |
Nginx UI is a web user interface for the Nginx web server. Prior to version 2.3.4, a user who was disabled by an administrator can use previously issued API tokens for up to the token lifetime. In practice, disabling a compromised account does not actually terminate that user’s access, so an attacker who already stole a JWT can continue reading and modifying protected resources after the account is marked disabled. Since tokens can be used to create new accounts, it is possible the disabled user to maintain the privilege. Version 2.3.4 patches the issue.
|
| Publication Date |
April 21, 2026, 6:16 a.m. |
| Registration Date |
April 25, 2026, 4:02 a.m. |
| Last Update |
April 23, 2026, 2:33 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:nginxui:nginx_ui:*:*:*:*:*:*:*:* |
|
|
|
2.3.4 |
Related information, measures and tools
Common Vulnerabilities List