摘要CVE-2026-27944 是 Nginx UI 2.3.3 之前版本中的高危信息泄露漏洞。该漏洞的核心问题在于：/api/backup 备份接口缺少认证校验，未登录用户可以直接请求该接口下载系统备份文件；同时，服务端会在X-Backup-Security 响应头中返回解密备份所需的 Key 和 IV，导致备份文件与解密材料在同一次响应中同时暴露。本文基于 Vulhub 本地靶场，使用 Bu