Penjelasan teknis
Bypass autentikasi kritis dalam integrasi Model Context Protocol (MCP) nginx-ui memungkinkan penyerang jarak jauh untuk memanggil salah satu dari 12 alat MCP yang diprioritaskan — termasuk penulisan config dengan reload nginx otomatis — tanpa autentikasi. Kelemahan timbul karena endpoint /mcp_message hanya menerapkan whitelisting IP (default: izinkan semua) sambil menghilangkan pemeriksaan autentikasi. Penyerang dapat mencapai pengambilalihan server nginx penuh dalam dua permintaan HTTP tanpa autentikasi. Dinamai 'MCPwn' oleh Pluto Security, eksploitasi aktif dikonfirmasi pada 30 Maret oleh VulnCheck dan Insikt Group Recorded Future; 2.689 instans rentan tetap dapat diakses secara publik.
Vektor serangan
Langkah 1: Kirim HTTP GET ke endpoint /mcp untuk membangun sesi dan memperoleh ID sesi (tidak memerlukan auth dengan pengaturan whitelist default). Langkah 2: Kirim HTTP POST ke /mcp_message dengan ID sesi untuk memanggil alat MCP apa pun — termasuk penulisan config nginx yang memicu reload layanan otomatis. Kontrol server penuh dicapai dalam dua permintaan tanpa kredensial.
Sistem yang terdampak
Versi nginx-ui sebelum 2.3.4. Setiap deployment nginx-ui yang menggunakan fitur integrasi MCP, terutama yang terbuka untuk jaringan yang tidak terpercaya.
Mitigasi
Tingkatkan ke versi nginx-ui 2.3.4 segera (patch dirilis 15 Maret 2026). Audit log akses nginx-ui untuk permintaan POST /mcp_message yang mencurigakan. Terapkan kontrol tingkat jaringan untuk membatasi antarmuka admin nginx-ui ke rentang IP terpercaya. Tinjau file konfigurasi nginx untuk modifikasi yang tidak terduga.