技術的な説明
nginx-uiのModel Context Protocol (MCP)統合における重大な認証回避脆弱性により、リモート攻撃者は認証なしで12個の特権MCPツール(設定書き込みと自動nginxリロードを含む)のいずれかを呼び出すことができます。この欠陥は、/mcp_messageエンドポイントが認証チェックを省略しながらIPホワイトリスト(デフォルト: すべて許可)のみを適用するために発生します。攻撃者は2つの認証なしHTTPリクエストでnginxサーバーの完全な乗っ取りを達成できます。Pluto Securityにより「MCPwn」と名付けられ、3月30日にVulnCheckおよびRecorded FutureのInsikt Groupによる能動的な悪用が確認されました。公開されている脆弱なインスタンスは2,689個が残存しています。
攻撃経路
ステップ1: /mcpエンドポイントにHTTP GETを送信してセッションを確立し、セッションIDを取得します(デフォルトホワイトリスト設定では認証は不要)。ステップ2: セッションIDを使用して/mcp_messageにHTTP POSTを送信し、任意のMCPツール(自動サービスリロードをトリガーするnginx設定の書き込みを含む)を呼び出します。2つのリクエストで認証情報ゼロでサーバーの完全な制御を達成できます。
影響を受けるシステム
nginx-ui 2.3.4より前のバージョン。特に信頼できないネットワークに公開されているMCP統合機能を使用しているnginx-uiの配置。
緩和策
直ちにnginx-uiバージョン2.3.4にアップグレードしてください(パッチは2026年3月15日にリリース)。疑わしい/mcp_message POSTリクエストについてnginx-uiアクセスログを監査してください。nginx-ui管理インターフェイスを信頼できるIPレンジに制限するためにネットワークレベルのコントロールを適用してください。予期しない変更についてnginx設定ファイルを確認してください。