Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Yazı Tipi BoyutlandırıcıAa
  • Anasayfa
  • Teknoloji
    • Siber Güvenlik
    • Yapay Zeka
    • Donanım
    • Bilim
  • Yazılım
  • Savunma & İstihbarat
  • Oyun
  • Yaşam
    • Finans
    • Sinema
    • Dünyadan Haberler
  • İş Birliği
Okuma: Kritik Açık: nginx-ui Hatası (CVE-2026-33032) Sunucu Ele Geçiriyor
Paylaş
Yazı Tipi BoyutlandırıcıAa
Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Ara
Bizi Takip Et
  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti
© 2026 Teknomers. All Rights Reserved.

Anasayfa » Kritik Açık: nginx-ui Hatası (CVE-2026-33032) Sunucu Ele Geçiriyor

Siber Güvenlik

Kritik Açık: nginx-ui Hatası (CVE-2026-33032) Sunucu Ele Geçiriyor

teknomers
Son güncelleme: 15 Nisan 2026 16:50
teknomers
Paylaş
Paylaş

Önemli Güvenlik Açığı: CVE-2026-33032

Son zamanlarda, açık kaynaklı web tabanlı Nginx yönetim aracı olan nginx-ui’de kritik bir güvenlik açığı tespit edilmiştir. Bu açığın aktif olarak istismar edilmesi, sistem güvenliğini ciddi şekilde tehdit etmektedir.

Contents
  • Önemli Güvenlik Açığı: CVE-2026-33032
  • Saldırı Nasıl Çalışıyor?
  • Etkilenen Sistemler
  • Çözüm ve Korunma
  • Sonuç

Saldırı Nasıl Çalışıyor?

Güvenlik açığı CVE-2026-33032 olarak takip edilmektedir ve CVSS puanı 9.8 olarak değerlendirilmiştir. Bu açık, bir kimlik doğrulama atlatma zafiyetidir ve kötü niyetli aktörlerin Nginx hizmetine hâkim olmasına olanak tanır. Pluto Security tarafından MCPwn kod adıyla anılan bu zafiyet, nginx-ui’nin MCP (Model Context Protocol) entegrasyonuna dayanır. İki HTTP uç noktası bulunmaktadır: /mcp ve /mcp_message.

  • /mcp uç noktası, IP beyaz listesi ve kimlik doğrulama (AuthRequired() middleware) gerektirirken, /mcp_message uç noktası yalnızca IP beyaz listesi uygulamaktadır. Varsayılan IP beyaz listesi boştur, bu da middleware tarafından “tüm izinli” olarak değerlendirilir.

Bu durum, her türlü ağ saldırganının kimlik doğrulaması olmadan tüm MCP araçlarını kullanmasına olanak tanımaktadır. Kötü niyetli kişiler, Nginx hizmetini ele geçirmek için şu şekilde hareket edebilir:

  • /mcp uç noktasına bir HTTP GET isteği göndererek oturum açar ve oturum kimliğini alır.
  • /mcp_message uç noktasına, oturum kimliği kullanarak HTTP POST isteği gönderirler.

Bu saldırı, birden fazla yöntemi kullanarak Nginx yapılandırma dosyalarını değiştirmeye veya sunucuyu yeniden başlatmaya imkan tanımaktadır.

Etkilenen Sistemler

Yapılan analizlere göre, dünya genelinde yaklaşık 2,689 exposed nginx-ui örneği bulunmaktadır. En çok etkilenen bölgeler arasında Çin, ABD, Endonezya, Almanya ve Hong Kong yer almaktadır. Bu durum, yamanmamış dağıtımlar için acil bir tehdit oluşturmaktadır.

Çözüm ve Korunma

Bu güvenlik açığının giderilmesi için 2.3.4 versiyonu, 15 Mart 2026 tarihinde yayınlanmıştır. Kullanıcılara aşağıdaki önerilere uyulması tavsiye edilmektedir:

  • /mcp_message uç noktasına “middleware.AuthRequired()” ekleyerek kimlik doğrulamayı zorlayın.
  • Varsayılan IP beyaz listeleme davranışını “allow-all” yerine “deny-all” olarak değiştirin.

Pluto Security, güvenlik açığının potansiyel olarak kötüye kullanma riski taşıdığını belirtmiştir ve kuruluşların hemen 2.3.4 versiyonuna geçmeleri veya MCP fonksiyonelliğini devre dışı bırakmaları gerektiğini vurgulamıştır.

Sonuç

Kuruluşunuzda nginx-ui kullanıyorsanız, acilen 2.3.4 versiyonuna güncelleyin veya MCP işlevselliğini devre dışı bırakın. İlgili IP kısıtlamalarını gözden geçirerek güvenlik önlemlerinizi artırmayı unutmayın. Güvenliğinizi sağlamak için gerekli adımları atmanız son derece önemlidir.

Gizlilik Sorunları Küresel Instagram Konularının Lansmanını Durduruyor
Windows 11 KB5083631 Güncellemesi: Acil 34 Değişiklik ve Düzeltme!
Google, “kritik” Android 12 güvenlik açığını düzeltir
Acil: Microsoft Word’de ‘Send to Kindle’ Özelliği İle Veda Zamanı
OpenAI’nin konuşma tanıma sistemi olan Whisper, açık kaynak kodlu hale geliyor
ETİKETLENDİ:AçıkCVE202633032elegeçiriyorHatasıKritiknginxuisunucu
Bu Makaleyi Paylaş
Facebook Bağlantıyı Kopyala Yazdır
Paylaş
Önceki Makale Adobe’nin yeni Firefly AI asistanı, Creative Cloud uygulamalarıyla işlerinizi kolaylaştırıyor
Sonraki Makale Walmart 4K Akış Kutusunu Gemini ve Matter Desteğiyle Güncelliyor

Sanal Medya

FacebookBeğen
452Takip Et
PinterestSabitle
237Takip Et

Son Eklenenler

Kabuto Park Yaz Tatilinin Geçiciliğini Yakalıyor
Liste
Velotric Nomad 2: Stabilite ve Performansla Off-Road Keyfi!
Genel
Gigabyte Z890 Aorus Elite Wifi7 Plus Anakart İncelemesi: Uygun Fiyatlı Yenilikler
Donanım
Apple’ın Yeni Siri’si Yeniden Aramızda
Liste
2026’nın En İyi 2 Bluetooth Takip Cihazı ve Öne Çıkanlar
Genel
G.Skill, AMD EXPO ULL ile performans artışını nasıl sağlıyor?
Donanım
//

Siber güvenlik, yapay zeka ve savunma sanayiinden; finans ve sinema dünyasına uzanan geniş bir yelpaze. Teknomers; teknoloji, strateji ve yazılım dünyasını sade bir dille sizlerle buluşturuyor.

Kurumsal

  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti

Kategoriler

  • Teknoloji
  • Oyun
  • Sinema
  • Siber Güvenlik
  • Bilim
  • Finans
  • Dünyadan Güncel Haberler

Populer

  • TV'de Ücretsiz İzlenebilen Şifresiz Erotik Kanallar (2025 Güncel Frekans Listesi)

  • The Last of Us PC Kontrolleri: Hızlı Silah Değiştirme ve Tüm Tuşlar (2025)

  • Hogwarts Legacy'de Odaklanma İksiri Nasıl Yapılır?

Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Bizi Takip Et
© 2026 Teknomers. All Rights Reserved.
Welcome Back!

Sign in to your account

Kullanıcı Adı veya E-posta Adresi
Şifre

Şifrenizi mi unuttunuz?