Nginx UI MCP 认证绕过漏洞，漏洞编号：XVE-2026-10589

漏洞类型：未授权访问

漏洞描述：Nginx UI 是一个用于 Nginx Web 服务器的Web用户界面，旨在简化 Nginx的管理和配置。

在2.3.5及之前版本中，MCP（模型上下文协议）集成暴露了/mcp和/mcp_message 两个 HTTP 端点。

其中/mcp端点受IP白名单和认证中间件保护，但/mcp_message端点仅应用了IP白名单检查，

且默认配置下IP白名单为空，被中间件视为允许所有来源。这导致任何网络攻击者都可以在获取node_secret情况下调用所有MCP工具，

包括重启Nginx、创建、修改或删除Nginx配置文件以及触发自动配置重载，从而实现完全接管Nginx服务。