CVE-2026-33032 liegt in der MCP-Integration (Model Context Protocol) von nginx-ui. Diese stellt laut einem Hinweis der Maintainer zwei HTTP-Endpunkte bereit: /mcp und /mcp_message. Der erste verlangt sowohl ein IP-Whitelisting als auch eine Authentifizierung über die Middleware AuthRequired(). Der zweite hingegen prüft ausschließlich die IP-Whitelist — und weil deren Standardwert leer ist und von der Middleware als „alle erlauben" behandelt wird, steht der Endpunkt faktisch offen.

In der Praxis genügt es, eigens präparierte HTTP-Anfragen ohne Authentifizierungs-Header oder Token direkt an /mcp_message zu senden. Damit lassen sich sämtliche MCP-Werkzeuge aufrufen: Nginx neu starten, Konfigurationsdateien anlegen, ändern oder löschen und automatische Neuladevorgänge auslösen. Das Ergebnis ist nach Darstellung der Maintainer eine vollständige Übernahme des Nginx-Dienstes. Darüber hinaus könnte ein Angreifer über diese Lücke den gesamten Datenverkehr abfangen und Administrator-Zugangsdaten abgreifen.

Forscher Yotam Perkal ordnet das Problem grundsätzlich ein: Wenn MCP nachträglich an eine bestehende Anwendung angeflanscht werde, erbten die MCP-Endpunkte zwar deren vollen Funktionsumfang, nicht aber zwingend deren Sicherheitskontrollen. So entstehe eine Hintertür, die jeden sorgfältig eingebauten Authentifizierungsmechanismus umgehe.

Nach verantwortungsvoller Offenlegung wurde die Schwachstelle mit Version 2.3.4 vom 15. März 2026 geschlossen. Als Übergangsmaßnahmen empfehlen die Entwickler, dem Endpunkt /mcp_message die Middleware middleware.AuthRequired() voranzustellen, um eine Authentifizierung zu erzwingen, oder das Standardverhalten der IP-Freigabe von „alle erlauben" auf „alle verweigern" umzustellen.

Recorded Future führte CVE-2026-33032 in einem in dieser Woche veröffentlichten Bericht als eine von 31 Schwachstellen auf, die im März 2026 aktiv von Angreifern ausgenutzt wurden. Zu den konkreten Angriffsaktivitäten liegen bislang keine Erkenntnisse vor.

Daten von Shodan zufolge sind rund 2.689 Instanzen im Internet erreichbar, die meisten davon in China, den USA, Indonesien, Deutschland und Hongkong. Angesichts der etwa 2.600 öffentlich erreichbaren nginx-ui-Instanzen sei das Risiko für ungepatchte Installationen unmittelbar und real, teilte Pluto The Hacker News mit. Betroffene Organisationen sollten den Fall als Notfall behandeln: sofort auf Version 2.3.4 aktualisieren oder als Zwischenlösung die MCP-Funktionalität deaktivieren und den Netzwerkzugriff einschränken.

Die Meldung fällt zeitlich mit der Entdeckung zweier Schwachstellen im Atlassian-MCP-Server („mcp-atlassian") zusammen, die sich zu einer Remote-Code-Execution verketten lassen. Die unter CVE-2026-27825 (CVSS 9.1) und CVE-2026-27826 (CVSS 8.2) geführten und MCPwnfluence genannten Lücken erlauben jedem Angreifer im selben lokalen Netz, ohne Authentifizierung beliebigen Code auf einem verwundbaren Rechner auszuführen. Durch Verkettung beider Schwachstellen lasse sich laut Pluto Security aus dem LAN heraus eine vollständige, nicht authentifizierte Codeausführung erreichen.