## Unauthentifizierte Übernahme über Nginx UI Die Schwachstelle, **CVE-2026-33032**, besteht darin, dass **nginx-ui** den Endpunkt `/mcp_message` ungeschützt lässt. Dies ermöglicht es entfernten Angreifern, privilegierte MCP-Aktionen ohne Authentifizierung aufzurufen. Da diese Aktionen das Schreiben und Neuladen von **Nginx**-Konfigurationsdateien beinhalten, kann eine einzige unauthentifizierte Anfrage das Serververhalten ändern und effektiv die vollständige Kontrolle über den Webserver gewähren. > "[...] jeder Netzwerkangreifer kann alle MCP-Tools ohne Authentifizierung aufrufen, einschließlich des Neustarts von Nginx, des Erstellens/Änderns/Löschens von Nginx-Konfigurationsdateien und des Auslösens automatischer Konfigurationsneuladungen – was zu einer vollständigen Übernahme des Nginx-Dienstes führt", heißt es in der Beschreibung der Schwachstelle durch **NIST** in der National Vulnerability Database (NVD). ## Patch veröffentlicht, Ausnutzung in freier Wildbahn **NGINX** hat am 15. März, einen Tag nachdem Forscher von **Pluto Security AI** sie gemeldet hatten, eine Korrektur für die Schwachstelle in Version 2.3.4 veröffentlicht. Der Schwachstellenbezeichner sowie technische Details und ein Proof-of-Concept (PoC) **exploit** tauchten jedoch erst Ende des Monats auf. In einem aktuellen CVE Landscape Report stellt das Threat-Intelligence-Unternehmen **Recorded Future** fest, dass **CVE-2026-33032** derzeit aktiv ausgenutzt wird. **Nginx UI** ist eine beliebte webbasierte Verwaltungsoberfläche für den **Nginx**-Webserver, die über 11.000 Sterne auf GitHub und 430.000 Docker-Pulls aufweist. ## Exposition und Angriffsvektoren Laut den Internet-Scans von **Pluto Security** mit der **Shodan**-Engine sind etwa 2.600 öffentlich zugängliche Instanzen potenziell anfällig. Die Mehrheit davon befindet sich in China, den Vereinigten Staaten, Indonesien, Deutschland und Hongkong. In einem Bericht beschreibt Yotam Perkal von **Pluto Security**, dass die Ausnutzung nur Netzwerkzugriff erfordert. Sie beinhaltet das Herstellen einer Server-Sent Events (SSE)-Verbindung, das Öffnen einer MCP-Sitzung und die anschließende Verwendung der zurückgegebenen `sessionID` zum Senden von Anfragen an den `/mcp_message`-Endpunkt.  Von diesem Punkt an können Angreifer MCP-Tools ohne Authentifizierung aufrufen, um: * Sich mit der Ziel-nginx-ui-Instanz zu verbinden * Anfragen ohne Authentifizierungsheader zu senden * Zugriff auf alle 12 MCP-Tools (7 davon destruktiv) zu erhalten * Nginx-Konfigurationsdateien zu lesen und zu exfiltrieren * Einen neuen Nginx-Serverblock mit bösartiger Konfiguration einzuschleusen * Automatische Nginx-Neuladung auszulösen Die Demo von **Pluto Security** zeigt, wie ein Angreifer den unauthentifizierten MCP-Nachrichtenendpunkt nutzen kann, um privilegierte Nginx-Verwaltungsaktionen auszuführen, Konfigurationsinjektionen durchzuführen und letztendlich die Kontrolle über den **Nginx**-Server zu erlangen, alles ohne Authentifizierung. ## Minderung Angesichts der aktiven Ausnutzung und der öffentlichen Verfügbarkeit von PoCs wird Systemadministratoren dringend empfohlen, die verfügbaren Sicherheitsupdates sofort anzuwenden. Die neueste sichere Version von **nginx-ui** ist 2.3.6, die letzte Woche veröffentlicht wurde.