Penjelasan teknis
Bypass autentikasi kritis dalam integrasi Model Context Protocol (MCP) nginx-ui memungkinkan penyerang jarak jauh untuk memanggil salah satu dari 12 alat MCP istimewa — termasuk penulisan konfigurasi dengan reload nginx otomatis — tanpa autentikasi. Kelemahan muncul karena endpoint /mcp_message hanya menerapkan pemutihan IP (default: izinkan semua) sambil menghilangkan pemeriksaan autentikasi. Penyerang dapat mencapai pengambilalihan server nginx penuh dalam dua permintaan HTTP tanpa autentikasi. Dinamai 'MCPwn' oleh Pluto Security, eksploitasi aktif dikonfirmasi pada 30 Maret oleh VulnCheck dan Insikt Group milik Recorded Future; 2.689 instans rentan tetap dapat diakses secara publik.
Vektor serangan
Langkah 1: Kirim HTTP GET ke endpoint /mcp untuk membentuk sesi dan memperoleh ID sesi (tidak memerlukan autentikasi dengan pengaturan pemutihan default). Langkah 2: Kirim HTTP POST ke /mcp_message dengan ID sesi untuk memanggil alat MCP apa pun — termasuk menulis konfigurasi nginx yang memicu reload layanan otomatis. Kontrol server penuh dicapai dalam dua permintaan tanpa kredensial.
Sistem yang terdampak
Versi nginx-ui sebelum 2.3.4. Penerapan nginx-ui apa pun yang menggunakan fitur integrasi MCP, khususnya yang terbuka ke jaringan yang tidak dipercaya.
Mitigasi
Upgrade ke versi nginx-ui 2.3.4 segera (patch dirilis 15 Maret 2026). Audit log akses nginx-ui untuk permintaan POST /mcp_message yang mencurigakan. Terapkan kontrol tingkat jaringan untuk membatasi antarmuka admin nginx-ui ke rentang IP tepercaya. Tinjau file konfigurasi nginx untuk modifikasi yang tidak terduga.