Una vulnerabilidad crítica en nginx-ui —una interfaz web de código abierto para gestionar Nginx— está siendo activamente explotada en la naturaleza y obliga a administradores y responsables de infraestructuras a reaccionar de inmediato. Registrada como CVE-2026-33032 y apodada MCPwn por los investigadores de Pluto Security, la falla permite saltarse la autenticación y llegar a controlar por completo el servicio Nginx en segundos.
El problema reside en cómo nginx-ui integra el protocolo MCP (Model Context Protocol). La integración expone dos puntos finales HTTP: /mcp y /mcp_message. Según los mantenedores del proyecto, mientras que /mcp obliga a pasar por un mecanismo de autenticación y a requerir lista blanca de IP, el punto /mcp_message solo aplica el filtrado por IP —y además el valor por defecto de esa lista blanca se comporta como “permitir a todos” cuando está vacío. Esa combinación deja una puerta abierta: un atacante en la red puede invocar las herramientas MCP sin presentar credenciales.
El flujo de explotación descrito por el descubridor, Yotam Perkal de Pluto Security, es sorprendentemente sencillo. Con dos peticiones HTTP se puede lograr el control: primero una GET a /mcp para iniciar sesión y obtener un identificador de sesión, y después una POST a /mcp_message usando ese ID para ejecutar cualquier herramienta MCP sin autenticación. En la práctica, esto permite acciones tan peligrosas como reiniciar Nginx, crear, modificar o borrar archivos de configuración y forzar recargas de configuración —en otras palabras, toma total del servicio Nginx. Además, un atacante con estas capacidades podría desviar tráfico, introducir reglas de proxy inverso para capturar credenciales administrativas o insertar payloads persistentes.
Tras la divulgación responsable, los mantenedores publicaron una corrección en la versión 2.3.4 liberada el 15 de marzo de 2026. Para organizaciones que no puedan aplicar el parche de inmediato se ofrecen mitigaciones temporales: añadir explicitamente middleware.AuthRequired() al punto /mcp_message para forzar autenticación, o cambiar la lógica por defecto de la lista blanca de IP para que pase de “permitir todo” a “denegar todo”. No obstante, los investigadores han avisado que la naturaleza del fallo hace que cualquier despliegue sin parchear y accesible desde la red sea un riesgo inminente.
El contexto amplifica la alarma. Un informe reciente de Recorded Future incluyó esta vulnerabilidad entre las más explotadas en marzo de 2026, y datos de búsqueda en internet —por ejemplo mediante herramientas como Shodan— indican que existen miles de instancias accesibles públicamente. Pluto Security comunicó a medios que estimaron alrededor de 2.600 instancias detectables, con mayor presencia en países como China, Estados Unidos, Indonesia, Alemania y Hong Kong. Esa superficie expuesta convierte la recomendación de “actualizar ya” en una prioridad operativa.
Quienes gestionan entornos con nginx-ui deberían actuar con rapidez: aplicar el parche a la versión 2.3.4, desactivar la funcionalidad MCP si no es estrictamente necesaria y limitar el acceso a la interfaz de gestión mediante listas de control de acceso en la red, VPNs o firewalls. También es buena práctica auditar los archivos de configuración y revisar registros de cambios y accesos para detectar operaciones inusuales que coincidan con la ventana de exposición.
Este incidente también forma parte de un patrón más amplio que afecta a integraciones que heredan funcionalidades pero no siempre las mismas barreras de seguridad. Según Perkal, cuando se incorpora MCP a aplicaciones existentes, sus endpoints pueden conservar las capacidades del software anfitrión sin respetar los mecanismos de autenticación ya implementados, creando una especie de “puerta trasera” inadvertida.
La aparición de MCPwn llega poco después del hallazgo de otro conjunto de fallos relacionados con servidores MCP en software de terceros: dos vulnerabilidades en el servidor MCP de Atlassian, catalogadas como CVE-2026-27825 y CVE-2026-27826 y apodadas MCPwnfluence, que pueden encadenarse para lograr ejecución remota de código sin autenticación desde la misma red local. Es un recordatorio de que las piezas auxiliares de un ecosistema (protocolos, extensiones, integraciones) pueden convertirse en vectores críticos si no se aseguran con el mismo rigor que el núcleo de la aplicación.
Para fuentes y lecturas adicionales sobre el suceso y su evaluación técnica puede consultarse la ficha del CVE en NVD (https://nvd.nist.gov/vuln/detail/CVE-2026-33032), los análisis públicos y notas de prensa de investigadores y empresas de ciberseguridad como Recorded Future (https://www.recordedfuture.com/) y los rastreos de servicios expuestos mediante Shodan (https://www.shodan.io/search?query=nginx-ui). También es recomendable seguir las comunicaciones de los mantenedores del proyecto en su repositorio y páginas oficiales para obtener el parche y las instrucciones específicas de actualización; una búsqueda en GitHub facilita localizar la versión estable más reciente (https://github.com/search?q=nginx-ui).
En resumen, MCPwn es un ejemplo claro de por qué las interfaces de gestión y las integraciones de protocolos exigen controles de seguridad tan estrictos como los servicios que controlan. Si administras Nginx mediante nginx-ui: trata esto como una emergencia operativa, prioriza la actualización y limita inmediatamente el acceso a cualquier instancia expuesta hasta confirmar que está parcheada y correctamente configurada.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...