技術的な説明
nginx-uiのModel Context Protocol (MCP) 統合における重大な認証バイパス脆弱性により、リモート攻撃者は認証なしで12個の特権MCPツール(自動nginxリロード付き設定書き込みを含む)のいずれかを呼び出すことができます。この脆弱性は、/mcp_messageエンドポイントが認証チェックを省略しながらIPホワイトリスト(デフォルト: すべて許可)のみを適用することに起因しています。攻撃者は認証なしの2つのHTTPリクエストでnginxサーバーの完全乗っ取りを実現できます。Pluto Securityにより「MCPwn」と命名され、VulnCheckおよびRecorded FutureのInsikt Groupにより3月30日に能動的な悪用が確認されました。公開されている脆弱なインスタンスは2,689個が残存しています。
攻撃経路
ステップ1: /mcpエンドポイントへHTTP GETを送信してセッションを確立し、セッションIDを取得します(デフォルトのホワイトリスト設定では認証不要)。ステップ2: セッションIDを含むHTTP POSTを/mcp_messageに送信して任意のMCPツール(自動サービスリロードをトリガーするnginx設定の書き込みを含む)を呼び出します。2つのリクエストで資格情報ゼロの完全なサーバーコントロールが実現できます。
影響を受けるシステム
nginx-ui バージョン 2.3.4より前のすべてのバージョン。特に信頼されていないネットワークに露出しているMCP統合機能を使用しているnginx-ui展開。
緩和策
nginx-uiバージョン2.3.4に直ちにアップグレードしてください(パッチは2026年3月15日にリリース)。/mcp_message POSTリクエストに関する疑わしいアクティビティについてnginx-uiアクセスログを監査してください。nginx-ui管理インターフェースへのアクセスを信頼されたIPレンジに制限するようにネットワークレベルの制御を適用してください。予期しない変更についてnginx設定ファイルを確認してください。