### Aktive Ausnutzung von CVE-2026-33032 Eine kritische Sicherheitslücke in **nginx-ui**, einer Open-Source-Weboberfläche zur Verwaltung von **Nginx**-Servern, wird aktiv ausgenutzt. Die Schwachstelle **CVE-2026-33032** (CVSS-Score: 9.8) ist ein Authentifizierungs-Bypass, der es Angreifern ermöglicht, die vollständige Kontrolle über den **Nginx**-Dienst zu erlangen. **Pluto Security** hat die Schwachstelle **MCPwn** genannt. ### Technische Details Die MCP (Model Context Protocol)-Integration von **nginx-ui** stellt zwei HTTP-Endpunkte bereit: `/mcp` und `/mcp_message`. Laut einem Advisory erfordert `/mcp` sowohl IP-Whitelisting als auch Authentifizierung, während der `/mcp_message`-Endpunkt nur IP-Whitelisting erzwingt. Die Standard-IP-Whitelist ist leer, was die Middleware als 'alle zulassen' interpretiert. Dies bedeutet, dass jeder Netzwerkangreifer alle MCP-Tools ohne Authentifizierung aufrufen kann, einschließlich des Neustarts von **Nginx**, des Erstellens, Änderns oder Löschens von **Nginx**-Konfigurationsdateien und des Auslösens automatischer Konfigurationsneuladungen, wodurch eine vollständige Übernahme des **Nginx**-Dienstes erreicht wird. ### Angriffsvektor Laut **Pluto Security**-Forscher Yotam Perkal kann der Angriff eine vollständige Übernahme in Sekunden über zwei Anfragen ermöglichen: * Eine HTTP-GET-Anfrage an den `/mcp`-Endpunkt, um eine Sitzung herzustellen und eine Sitzungs-ID zu erhalten. * Eine HTTP-POST-Anfrage an den `/mcp_message`-Endpunkt unter Verwendung der Sitzungs-ID, um jedes MCP-Tool ohne Authentifizierung aufzurufen.  Eine erfolgreiche Ausnutzung könnte es Angreifern ermöglichen, **Nginx**-Konfigurationsdateien zu ändern und den Server neu zu laden. Darüber hinaus könnte ein Angreifer den gesamten Datenverkehr abfangen und Administrator-Anmeldedaten stehlen. ### Abhilfemaßnahmen Die Schwachstelle wurde in Version 2.3.4, veröffentlicht am 15. März 2026, behoben. Benutzern wird empfohlen, sofort ein Upgrade durchzuführen. Als Workarounds können Benutzer `middleware.AuthRequired()` zum `/mcp_message`-Endpunkt hinzufügen, um die Authentifizierung zu erzwingen, oder das Standardverhalten der IP-Allowlist von 'allow-all' auf 'deny-all' ändern. ### Ausnutzung in freier Wildbahn **Recorded Future** listete **CVE-2026-33032** als eine der 31 Schwachstellen auf, die im März 2026 aktiv von Bedrohungsakteuren ausgenutzt wurden. Derzeit gibt es keine detaillierten Einblicke in spezifische Ausnutzungsaktivitäten. ### Betroffene Instanzen Daten von **Shodan** deuten auf etwa 2.689 exponierte Instanzen im Internet hin, die hauptsächlich in China, den USA, Indonesien, Deutschland und Hongkong angesiedelt sind. **Pluto Security** rät Organisationen, die **nginx-ui** betreiben, dies als Notfall zu behandeln: Aktualisieren Sie sofort auf Version 2.3.4 oder deaktivieren Sie die MCP-Funktionalität und beschränken Sie den Netzwerkzugriff als Übergangsmaßnahme. ### Verwandte Schwachstellen Diese Offenlegung folgt auf die Entdeckung zweier Sicherheitslücken im **Atlassian** MCP-Server ("mcp-atlassian"), die verkettet werden konnten, um Remote Code Execution zu erreichen. Die Lücken – verfolgt als **CVE-2026-27825** (CVSS 9.1) und **CVE-2026-27826** (CVSS 8.2) und als MCPwnfluence bezeichnet – ermöglichen es jedem Angreifer im selben lokalen Netzwerk, beliebigen Code ohne Authentifizierung auf einem anfälligen Rechner auszuführen. Das Verketten beider Schwachstellen ermöglicht es Angreifern laut **Pluto Security**, Anfragen an das MCP vom LAN aus zu senden, den Server auf die Maschine des Angreifers umzuleiten, eine Anlage hochzuladen und dann eine vollständige, nicht authentifizierte RCE vom LAN zu erhalten.