Una falla de seguridad crítica recientemente revelada que afecta a nginx-ui, una herramienta de administración de Nginx de código abierto basada en web, ha sido objeto de explotación activa en la naturaleza.
La vulnerabilidad en cuestión es CVE-2026-33032 (puntuación CVSS: 9,8), una vulnerabilidad de omisión de autenticación que permite a los actores de amenazas tomar el control del servicio Nginx. ha sido nombrado en clave MCPwn por Plutón Seguridad.
«La integración de nginx-ui MCP (Protocolo de contexto modelo) expone dos puntos finales HTTP: /mcp y /mcp_message», según un aviso publicado por los mantenedores de nginx-ui el mes pasado. «Si bien /mcp requiere tanto la lista blanca de IP como la autenticación (middleware AuthRequired()), el punto final /mcp_message solo aplica la lista blanca de IP, y la lista blanca de IP predeterminada está vacía, lo que el middleware trata como ‘permitir todo'».
«Esto significa que cualquier atacante de red puede invocar todas las herramientas MCP sin autenticación, incluido reiniciar nginx, crear/modificar/eliminar archivos de configuración de nginx y activar recargas automáticas de configuración, logrando la toma completa del servicio nginx».
Según el investigador de Pluto Security, Yotam Perkal, quien identificó e informó la falla, el ataque puede facilitar una toma de control total en segundos a través de dos solicitudes:
- Una solicitud HTTP GET al punto final /mcp para establecer una sesión y obtener un ID de sesión.
- Una solicitud HTTP POST al punto final /mcp_message utilizando el ID de sesión para invocar cualquier herramienta MCP sin autenticación
En otras palabras, los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes HTTP especialmente diseñadas directamente al punto final «/mcp_message» sin encabezados ni tokens de autenticación.
La explotación exitosa de la falla podría permitirles invocar herramientas MCP, modificar los archivos de configuración de Nginx y recargar el servidor. Además, un atacante podría aprovechar esta laguna para interceptar todo el tráfico y recopilar las credenciales de administrador.
Tras una divulgación responsable, la vulnerabilidad se solucionó en la versión 2.3.4, lanzada el 15 de marzo de 2026. Como solución alternativa, se recomienda a los usuarios agregar «middleware.AuthRequired()» al punto final «/mcp_message» para forzar la autenticación. Alternativamente, se recomienda cambiar el comportamiento predeterminado de la lista de direcciones IP permitidas de «permitir todo» a «rechazar todo».
La divulgación se produce cuando Recorded Future, en un informe publicado esta semana, enumeró CVE-2026-33032 como una de las 31 vulnerabilidades que han sido explotadas activamente por actores de amenazas en marzo de 2026. Actualmente no hay información sobre la actividad de explotación asociada con la falla de seguridad.
«Cuando se incorpora MCP a una aplicación existente, los puntos finales de MCP heredan todas las capacidades de la aplicación, pero no necesariamente sus controles de seguridad. El resultado es una puerta trasera que evita todos los mecanismos de autenticación con los que se creó cuidadosamente la aplicación», dijo Perkal.
Los datos de Shodan muestran que hay alrededor de 2.689 casos expuestos en Internet, la mayoría de ellos ubicados en China, Estados Unidos, Indonesia, Alemania y Hong Kong.
«Dadas las aproximadamente 2.600 instancias de nginx-ui accesibles públicamente que identificaron nuestros investigadores, el riesgo de implementaciones sin parches es inmediato y real», dijo Pluto a The Hacker News. «Las organizaciones que ejecutan nginx-ui deberían tratar esto como una emergencia: actualizar a la versión 2.3.4 inmediatamente o desactivar la funcionalidad MCP y restringir el acceso a la red como medida provisional».
La noticia de CVE-2026-33032 sigue al descubrimiento de dos fallos de seguridad en el servidor MCP de Atlassian («mcp-atlassian») que podrían encadenarse para lograr la ejecución remota de código. Las fallas, rastreadas como CVE-2026-27825 (CVSS 9.1) y CVE-2026-27826 (CVSS 8.2) y denominadas MCPwnfluence, permiten a cualquier atacante en la misma red local ejecutar código arbitrario en una máquina vulnerable sin requerir ninguna autenticación.
«Al encadenar ambas vulnerabilidades, podemos enviar solicitudes al MCP desde la LAN (red de área local), redirigir el servidor a la máquina atacante, cargar un archivo adjunto y luego recibir un RCE completo no autenticado desde la LAN», dijo Pluto Security.