漏洞概述Nginx-UI 备份恢复机制中被披露存在一个高危安全漏洞CVE-2026-33026。该漏洞允许威胁攻击者在恢复过程中篡改加密备份文件并注入恶意配置。随着公开的 PoC 利用代码发布未打补丁的系统面临被完全攻陷的即时风险。加密缺陷利用原理与 PoC该漏洞的根本原因在于应用程序备份架构中存在严重缺陷的循环信任模型。当 Nginx-UI 生成备份时会将文件压缩为 ZIP 归档并使用 AES-256-CBC 加密但系统未能维护可信根信任。AES 密钥和初始化向量IV作为备份安全令牌直接提供给客户端而非在服务端保护加密参数。更严重的是包含加密文件 SHA-256 哈希值的完整性元数据文件也使用相同密钥加密。由于攻击者拥有密钥可轻松绕过所有加密安全控制。此外恢复过程未执行严格的完整性验证即使哈希不匹配触发系统警告恢复操作仍会继续。安全研究员 dapickle 成功演示了如何利用这一架构弱点。公开的 PoC 包含可自动解密和重建 Nginx-UI 备份文件的 Python 脚本。攻击流程包括生成标准备份并从 HTTP 头提取安全令牌使用解密脚本解压归档并修改内部配置文件app.ini注入恶意命令如StartCmd bash使用重建脚本压缩修改后的文件计算新的合法哈希值更新元数据并使用原始令牌重新加密整个包上传篡改后的备份至 Nginx-UI 恢复接口系统将盲目接受并执行注入的负载影响与回归分析该漏洞被评为严重级别在多个影响指标上获得 CVSS 4.0 最高分。成功利用可使攻击者永久篡改应用配置、在 Nginx 路由中植入后门并在主机上实现任意命令执行。值得注意的是该漏洞是 GitHub 公告 GHSA-fhh2-gg7w-gwpq 中记录的前期漏洞的回归。虽然早期补丁解决了备份文件的未授权访问问题但完全未能解决底层加密设计缺陷使系统仍面临归档修改的根本性风险。安全社区将该漏洞归类为多种弱点组合包括完整性检查值验证不当CWE-354和加密签名验证失败CWE-347。该漏洞影响基于 Go 的 Nginx-UI 软件包特别是 2.3.3 及更早版本。管理员必须立即升级至 2.3.4 修补版本。除应用最新补丁外建议开发者实施服务端可信完整性根使用私钥而非客户端暴露的令牌对备份元数据进行签名。此外系统应安全配置以避免循环信任模型并在任何哈希验证失败时严格中止恢复操作。