[!quote]+ 
nginx-ui是一个开源的基于网络的Nginx管理工具，最近披露的一个严重安全漏洞影响了nginx-ui的正常运行。 
该漏洞名为 CVE-2026-33032（CVSS 得分：9.8），是一个身份验证绕过漏洞，可使威胁行为者夺取 Nginx 服务的控制权。Pluto Security 公司将该漏洞命名为 MCPwn。 
“nginx-ui的MCP（模型上下文协议）集成暴露了两个HTTP端点：/mcp和/mcp_message”，nginx-ui维护者上个月发布的公告称。“/mcp需要IP白名单和身份验证（AuthRequired()中间件），而/mcp_message端点只应用IP白名单–默认IP白名单为空，中间件将其视为’全部允许’”。 
“这意味着任何网络攻击者都可以在未经身份验证的情况下调用所有 MCP 工具，包括重启 nginx、创建/修改/删除 n...