Nginx ist das Rückgrat unzähliger Web-Infrastrukturen weltweit. Die Verwaltung des Webservers über komfortable Web-UIs wie das Open-Source-Tool nginx-ui ist daher weit verbreitet. Doch genau hier schlägt aktuell eine kritische Sicherheitslücke zu: Die Schwachstelle CVE-2026-33032 (CVSS-Score: 9.8) wird Berichten zufolge bereits aktiv in der Wildnis ausgenutzt und ermöglicht Angreifern die komplette Übernahme des Nginx-Dienstes.
MCPwn: Wenn Bequemlichkeit zur Sicherheitsfalle wird
Die von den Forschern von Pluto Security entdeckte und als „MCPwn“ benannte Schwachstelle ist ein klassisches Beispiel für die Sicherheitsrisiken, die entstehen, wenn neue Features übereilt an bestehende Anwendungen angebaut werden. Konkret geht es um die Integration des Model Context Protocol (MCP) in nginx-ui. MCP ist ein Protokoll, das es KI-Modellen ermöglicht, mit externen Werkzeugen zu interakieren – in diesem Fall also mit der Nginx-Konfiguration.
Das Problem liegt in der Implementierung der HTTP-Endpoints. Während der /mcp-Endpoint ordnungsgemäß durch IP-Whitelisting und eine AuthRequired()-Middleware abgesichert ist, greifen diese Schutzmechanismen beim /mcp_message-Endpoint nicht. Dort wird lediglich das IP-Whitelisting angewendet – und hier passiert der entscheidende Konstruktionsfehler: Die Standard-Whitelist ist leer. Die Middleware interpretiert eine leere Liste fälschlicherweise als „allow all“ statt als „deny all“.
Vollständige Übernahme in nur zwei HTTP-Requests
Die Konsequenz ist fatal. Wie der Pluto-Security-Forscher Yotam Perkal erklärt, reicht ein extrem simpler Angriff aus, um den Server in Sekunden zu übernehmen:
- Ein HTTP-GET-Request an den
/mcp-Endpoint, um eine Session und die zugehörige Session-ID zu erhalten. - Ein HTTP-POST-Request an den ungesicherten
/mcp_message-Endpoint unter Verwendung der Session-ID.
Da für den zweiten Request keinerlei Authentifizierungs-Header oder Tokens erforderlich sind, können Angreifer sämtliche MCP-Tools aus der Ferne aufrufen. Das bedeutet in der Praxis: Neustarten des Nginx-Dienstes, Erstellen, Modifizieren oder Löschen von Konfigurationsdateien sowie das erzwingen automatischer Reloads. Wer die Nginx-Konfiguration kontrolliert, kontrolliert den Server. Angreifer können so nicht nur den Datenverkehr abfangen (Traffic Interception), sondern auch Administrator-Zugangsdaten abgreifen.
Systemisches Problem beim MCP-Anschluss
Die Lücke ist mehr als nur ein einzelner Programmierfehler – sie wirft ein Schlaglicht auf einen systematischen Schwachpunkt in der aktuellen Softwareentwicklung. „Wenn man MCP an eine bestehende Anwendung anflanscht, erben die MCP-Endpoints die vollen Fähigkeiten der Anwendung, aber nicht zwingend ihre Sicherheitskontrollen. Das Ergebnis ist eine Hintertür, die jeden Authentifizierungsmechanismus umgeht, für den die Anwendung sorgfältig aufgebaut wurde“, warnt Perkal.
Diese Warnung ist brandaktuell. Erst kürzlich wurden mit CVE-2026-27825 und CVE-2026-27826 zwei weitere Schwachstellen im Atlassian MCP-Server („mcp-atlassian“) bekannt, die unter dem Namen „MCPwnfluence“ ebenfalls eine Remote Code Execution (RCE) ohne Authentifizierung im lokalen Netzwerk ermöglichen. MCP entwickelt sich damit aktuell zum prädestinierten Angriffsvektor für moderne Applikationen.
Weitreichende Exposition und Gegenmaßnahmen
Laut Shodan sind aktuell rund 2.689 nginx-ui-Instanzen direkt aus dem Internet erreichbar. Die meisten davon befinden sich in China, den USA, Indonesien, Deutschland und Hongkong. Dass Deutschland hier in den Top 5 vertreten ist, macht den Vorfall auch für heimische Administratoren zu einem akuten Notfall. Recorded Future listet CVE-2026-33032 unter den 31 im März 2026 aktiv ausgenutzten Schwachstellen.
Nach dem Responsible Disclosure-Prinzip wurde die Schwachstelle bereits behoben. Nutzer müssen zwingend auf Version 2.3.4 (veröffentlicht am 15. März 2026) aktualisieren. Ist ein Update vorübergehend nicht möglich, raten die Entwickler zu Workarounds: Die middleware.AuthRequired() muss manuell zum /mcp_message-Endpoint hinzugefügt werden. Alternativ sollte das Standardverhalten der IP-Whitelist dringend von „allow-all“ auf „deny-all“ geändert werden. Wer die MCP-Funktionalität nicht zwingend benötigt, sollte sie im Idealfall komplett deaktivieren und den Netzwerkzugriff streng einschränken.
Fazit
Der Vorfall um CVE-2026-33032 ist eine deutliche Warnung an die gesamte Branche. Die rasante Integration von KI-Funktionen und MCP-Schnittstellen in bestehende Infrastruktur-Tools bringt immense Geschwindigkeitsvorteile, aber eben auch fatale Sicherheitslücken, wenn das Fundament der Zugriffskontrolle nicht mitgedacht wird. Für Administratoren heißt es jetzt: Patchen, Netzzugänge härten und kritisch prüfen, ob jede MCP-Schnittstelle wirklich öffentlich exponiert sein muss.
Quelle: The Hacker News
