الثغرات ›

CVE-2026-33028

مرتفع ⚡ اختراق متاح

CWE-362 — نوع الضعف

                    نُشر: Mar 30, 2026                      ·  آخر تحديث: Apr 6, 2026                      ·  المصدر: NVD                

CVSS v3

7.5

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Nginx UI is a web user interface for the Nginx web server. Prior to version 2.3.4, the nginx-ui application is vulnerable to a Race Condition. Due to the complete absence of synchronization mechanisms (Mutex) and non-atomic file writes, concurrent requests lead to the severe corruption of the primary configuration file (app.ini). This vulnerability results in a persistent Denial of Service (DoS) and introduces a non-deterministic path for Remote Code Execution (RCE) through configuration cross-contamination. This issue has been patched in version 2.3.4.

🤖 ملخص AI

Nginx UI versions prior to 2.3.4 contain a race condition vulnerability in file handling that allows concurrent requests to corrupt the app.ini configuration file, causing persistent denial of service. The vulnerability also creates potential pathways for remote code execution through configuration cross-contamination without proper synchronization mechanisms.

📄 الوصف (العربية)

يؤثر هذا الضعف على Nginx UI بسبب غياب كامل لآليات المزامنة والكتابة الذرية للملفات. يمكن للمهاجمين استغلال الطلبات المتزامنة لإفساد ملف التكوين الرئيسي، مما يؤدي إلى رفض الخدمة المستمر وإمكانية تنفيذ أوامر بعيدة.

🤖 ملخص تنفيذي (AI)

تطبيق Nginx UI الإصدارات السابقة للإصدار 2.3.4 يحتوي على ثغرة تنافس في معالجة الملفات تسمح للطلبات المتزامنة بإفساد ملف التكوين app.ini، مما يسبب رفض خدمة مستمر. تخلق الثغرة أيضاً مسارات محتملة لتنفيذ أوامر بعيدة من خلال التلوث المتبادل للتكوين.

🤖 التحليل الذكي آخر تحليل: May 3, 2026 17:18

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

telecom government banking energy

🎯 تقنيات MITRE ATT&CK

T1499 T1499.004 T1203

⚖️ درجة المخاطر السعودية (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade Nginx UI to version 2.3.4 or later which includes proper mutex synchronization and atomic file write operations. Implement access controls to restrict who can modify Nginx UI configurations. Monitor for unusual concurrent requests and implement rate limiting on configuration endpoints. Validate all configuration changes before applying them to production systems.

🔧 خطوات المعالجة (العربية)

قم بترقية Nginx UI فوراً إلى الإصدار 2.3.4 أو أحدث الذي يتضمن آليات مزامنة mutex مناسبة وعمليات كتابة ملفات ذرية. طبق ضوابط الوصول لتقييد من يمكنه تعديل تكوينات Nginx UI. راقب الطلبات المتزامنة غير العادية وطبق تحديد معدل على نقاط نهاية التكوين. تحقق من صحة جميع تغييرات التكوين قبل تطبيقها على أنظمة الإنتاج.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1 5.2 6.1

🔵 SAMA CSF

CC6.1 CC6.2 CC7.2

🟡 ISO 27001:2022

A.12.4.1 A.14.2.1 A.14.2.5

🔗 المراجع والمصادر 2

🔗

https://github.com/0xJacky/nginx-ui/releases/tag/v2.3.4

security-advisories@github.com

Product Release Notes

🔗

https://github.com/0xJacky/nginx-ui/security/advisories/GHSA-m468-xcm6-fxg4

security-advisories@github.com

Exploit Mitigation Vendor Advisory

📦 المنتجات المتأثرة 2 منتج

nginxui:nginx_ui

uozi:cosy

📊 CVSS Score

7.5

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityH — High

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.5

CWECWE-362

EPSS0.07%

اختراق متاح ✓ نعم

تصحيح متاح ✗ لا

تاريخ النشر 2026-03-30

المصدر nvd

المشاهدات 5

🇸🇦 درجة المخاطر السعودية

8.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

exploit-available CWE-362

🏢 توجيهات البائع

🔗 https://github.com/0xJacky/nginx-ui/security/advisor...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-33028

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب