更新時間:2026/03/27 14:17:26
發佈時間:2026/03/27 14:17:26
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1]
網頁伺服器第三方管理介面Nginx UI存在未經授權存取及敏感資料洩漏漏洞(CVE-2026-27944)。該漏洞存在於/api/backup端點,攻擊者可於未經身分驗證情況下存取,並於回應標頭X-Backup-Security中取得系統備份的解密金鑰,後續攻擊者可利用該漏洞下載完整系統備份並解密其中的敏感資料。
二、已揭露攻擊活動說明
1. GitHub已有PoC程式碼。
▶ 漏洞資訊
⌵
名稱:
CVE-2026-27944
描述:
使用版本:CVSS 3.1
分析分數:9.8
參考來源:GitHub Advisory
▶ 影響平台
⌵
影響平台-系統:
1. Nginx UI 2.3.3(不含)以下版本受影響,建議升級至2.3.3或以上版本。
▶ 建議措施
⌵
1. 官方已發布修補程式,建議會員依據單位內漏洞管理機制進行相關作業。
▶ 參考資訊
⌵
| 編號 | 網址 | 說明 |
|---|---|---|
| 1 | https://github.com/advisories/GHSA-g9w5-qffc-6762 | GitHub Advisory(Nginx UI) |
情資編號:
FISAC-200-202603-0014
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞