关于Nginx UI 信息泄露漏洞（CVE-2026-27944）的预警通报

近日，工作发现最新漏洞威胁：Nginx UI 信息泄露漏洞CVE-2026-27944

Nginx UI 存在信息泄露漏洞，由于 /api/backup 接口缺失身份验证，导致任何未经授权的攻击者都可以直接下载系统的完整加密备份。并且该接口在响应的 X-Backup-Security 头中明文泄露了用于加密的 AES-256 密钥和初始化向量 (IV)。这使得攻击者能够立即解密下载的备份文件，从而获取其中包含的管理员凭据、SSL 私钥、数据库信息、Nginx 配置以及会话令牌等所有核心敏感数据，最终可能导致服务器被完全接管。

目前受影响的 Nginx UI 版本：

Nginx UI < 2.3.3

官方已发布最新版本修复该漏洞，建议受影响用户更新到 2.3.3 版本。

下载链接：

https://github.com/0xJacky/nginx-ui/releases/

请各单位增强网络安全防护意识，立即排查产品使用情况，并督促指导受影响单位及时升级漏洞补丁，消除风险隐患。同时，加强网络安全监测,如发现遭攻击情况及时处置并报告。