MCP-Fehler macht Nginx-Webserver remote angreifbar

Ein einzeiliger MCP-Fehler macht den Nginx-Webserver im Netzwerk remote angreifbar.

Ein einzeiliger MCP-Fehler macht den Nginx-Webserver im Netzwerk remote angreifbar. Der Fehler wird in der Praxis aktiv ausgenutzt, berichten die Sicherheitsexperten von Pluto.

Kurz gesagt fehlt dem MCP-Nachrichten-Endpunkt (/mcp_message) in nginx-ui eine Authentifizierungs-Middleware (MCP =Model Context Protocol). Dadurch werden laut den Sicherheitsexperten von Pluto 12 MCP-Tools – einschließlich Konfigurationsschreibvorgängen mit automatischem nginx-Reload – für jeden Host im Netzwerk zugänglich. Ein einziger nicht authentifizierter API-Aufruf dabei reicht aus, um eine Konfiguration einzuschleusen und die Kontrolle über Nginx zu übernehmen. Laut Pluto sind keine Anmeldedaten erforderlich, eine einfache HTTP-Anfrage an eine URL, die geschützt sein sollte, es aber nicht war, genüge. Im Beitrag von Pluto sind ausführliche Beschreibungen und Tipps für Admins zum Erkennen der Bedrohung vorhanden.

Geführt unter der CVE-2026-33032 steckt die Lücke im nginx-gui, einem beliebten webbasierten Nginx-Verwaltungstool mit über 11.000 GitHub-Stars und mehr als 430.000 Docker-Pulls, so Pluto weiter.

Seit der Veröffentlichung wurde eine aktive Ausnutzung in freier Wildbahn bestätigt, teilt Pluto weiter mit: VulnCheck habe sie in seine Liste der bekannten ausgenutzten Schwachstellen (KEV) aufgenommen, und die Insikt Group von Recorded Future identifizierte sie als eine von 31 CVEs mit hoher Auswirkung, die im März 2026 aktiv ausgenutzt wurden, und wies ihr einen Risikowert von 94/100 zu.

Die gegen das Sicherheitsproblem immune Nginx-Version v.2.3.4 gibt es seit März. Aktuell ist Nginx 2.3.6 erschienen. Admins sollten dringend auf eine dieser Versionen aktualisieren oder zumindest auf die Schnelle MCP deaktivieren.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben