Uma falha crítica no nginx-ui está sendo explorada ativamente na internet. Tracked como CVE-2026-33032 e com CVSS 9.8, o problema permite que qualquer invasor com acesso à rede tome controle total de servidores Nginx sem precisar de credenciais. A causa é uma inconsistência de autenticação no endpoint de integração com MCP (Model Context Protocol) que transforma a ferramenta de gerenciamento em porta de entrada.

O que é a CVE-2026-33032

O nginx-ui é uma interface web de código aberto usada para gerenciar e configurar servidores Nginx. Em versões 2.3.5 e anteriores, o produto integra o MCP — padrão aberto criado pela Anthropic para conectar assistentes de IA a sistemas externos. O problema é que essa integração introduziu uma brecha de autenticação severa.

O nginx-ui expõe dois endpoints HTTP para MCP: /mcp e /mcp_message. O primeiro exige autenticação e filtro de IP. O segundo exige apenas filtro de IP. Quando a lista de IPs permitidos não é configurada — comportamento padrão — o filtro interpreta a lista vazia como “permitir tudo”. Na prática, qualquer pessoa na rede acessa /mcp_message sem login e invoca ferramentas administrativas de alto privilégio.

A vulnerabilidade foi documentada no NVD (National Vulnerability Database) com CVSS 9.8, refletindo exploração remota sem privilégios e sem interação do usuário. O código-fonte em mcp/router.go mostra a assimetria: um endpoint com AuthRequired() e outro sem.

Como o ataque funciona

A exploração é direta. Segundo análise da WebSec, o atacante envia uma requisição POST em formato JSON-RPC 2.0 para /mcp_message na porta padrão de gerenciamento (9000). A partir daí, invoca ferramentas MCP como nginx_config_add, que criam ou modificam arquivos de configuração do Nginx e disparam reload automaticamente.

Não há segundo passo autenticado — um único request é suficiente para escrever o arquivo malicioso e aplicar a configuração. Com esse acesso, o invasor pode reiniciar o Nginx, alterar configurações para interceptar tráfego, excluir configs existentes, injetar redirecionamentos ou criar regras que capturam credenciais em trânsito.

A Field Effect confirmou que a exploração está em curso desde março de 2026. Mais de 2.600 instâncias do nginx-ui estão expostas na internet, segundo dados do Vulert, oferecendo um alvo vasto para scans automatizados. Pesquisadores de ameaças observaram que atacantes estão varrendo a internet em busca de instâncias vulneráveis e automatizando a exploração em massa, priorizando servidores que hospedam aplicações financeiras e de e-commerce.

MCP como vetor de ataque

A CVE-2026-33032 não é um caso isolado. Ela pertence a uma categoria crescente de falhas introduzidas pela integração apressada de MCP em aplicações sem controles de segurança adequados. O padrão foi projetado para dar assistentes de IA acesso a sistemas — com isso, herda capacidades completas do hospedeiro. Quando a autenticação falha, o resultado é um backdoor funcional.

Como já reportamos sobre a vulnerabilidade generalizada de servidores MCP, pesquisas mostram que 82% das implantações MCP carecem de proteções básicas. A Atlassian corrigiu duas falhas MCP (CVE-2026-27825 e CVE-2026-27826) que permitiam RCE sem autenticação em redes locais. O padrão é claro: integrar MCP sem segurança cria superfície de ataque invisível.

A raiz do problema é arquitetônica. O MCP foi projetado para funcionar como ponte entre agentes de IA e sistemas externos, o que pressupõe confiança total no canal. Quando desenvolvedores adicionam endpoints MCP sem repassar as mesmas checagens de autenticação aplicadas ao restante da aplicação, o resultado é um caminho privilegiado sem guarda. No caso do nginx-ui, o erro foi duplo: um middleware ausente e um comportamento fail-open na lista de IPs.

Falhas MCP recentes

CVE Produto Tipo Impacto
CVE-2026-33032 nginx-ui Bypass de autenticação Takeover total do Nginx
CVE-2026-27825 Atlassian (Confluence) Bypass de autenticação RCE em rede local
CVE-2026-27826 Atlassian (Jira) Bypass de autenticação RCE em rede local

Risco para admins no Brasil

O nginx-ui é usado por equipes de DevOps, sysadmins e provedores de hospedagem. No Brasil, onde o Nginx é o servidor web dominante, a exposição dessa ferramenta de gerenciamento é particularmente perigosa. Empresas que expõem a interface para a internet — seja por conveniência ou falta de hardening — estão com a porta aberta.

Os resultados de uma invasão incluem interceptação de tráfego SSL, exfiltração de credenciais de clientes, redirecionamento de páginas para phishing, inserção de conteúdo malicioso e interrupção completa de serviços. Para quem gerencia servidores web em produção, o risco é direto e imediato. Provedores de hospedagem compartilhada, agências de desenvolvimento e startups que adotaram nginx-ui pela facilidade de configuração são os alvos mais prováveis.

O que fazer agora

  1. Atualizar para 2.3.4 ou superior — a versão corrigida está disponível no GitHub do projeto 0xJacky desde março de 2026. Esta é a solução definitiva.
  2. Desabilitar MCP se não for necessário — se a integração não é usada, remova-a. Reduz a superfície de ataque a zero nesse vetor.
  3. Restringir acesso à interface — a porta 9000 (padrão) nunca deveria estar exposta à internet. Use firewall, VPN ou túnel SSH para acesso administrativo.
  4. Configurar IP whitelist — se não for possível atualizar, configure explicitamente a lista de IPs. Não dependa do comportamento padrão de “permitir tudo”.
  5. Auditar configurações do Nginx — revise logs de mudança de configuração e arquivos de config em busca de modificações não autorizadas. Um reload suspeito pode indicar exploração passada.

Leia também

MCP: 82% dos servidores estão vulneráveis a ataques

Hacking Web Servers: Apache, Nginx e IIS — guia completo

Bomba HTTP/2: falha descoberta por IA derruba servidores

Referências