Die Schwachstelle zeigt ein fundamentales Sicherheitsproblem, das bei der Integration von MCP in bestehende Anwendungen auftritt. nginx-ui verwendet das Model Context Protocol, um externen Tools und KI-Agenten die direkte Verwaltung von NGINX-Konfigurationen zu ermöglichen. Jedoch wurde die MCP-Implementierung fahrlässig umgesetzt.
Das eigentliche Problem liegt im fehlenden Schutzmechanismus des sogenannten MCP-Message-Endpunkts (/mcp_message). Dieser Zugang zur Befehlsausführung erfordert keinerlei Authentifizierung. Das bedeutet: Wer diese Schnittstelle erreichen kann, kann beliebige administrative Befehle ausführen und nginx-ui vollständig kontrollieren — ohne sich auch nur anmelden zu müssen.
Yotam Perkal, Direktor für Sicherheitsforschung bei Pluto, erklärt die technischen Details: Zwar existiert theoretisch ein Authentifizierungsmechanismus für den initialen Verbindungsaufbau (/mcp). Dieser erfordert einen sogenannten “node_secret”. Allerdings handelt es sich dabei um eine statische UUID, die beim ersten Start generiert und im Klartext gespeichert wird — statt als pro-Benutzer-Anmeldedaten. Das bietet in der Praxis kaum Sicherheit.
Schlimmer noch: Der node_secret lässt sich oft trivial auslesen, dank einer zweiten Sicherheitslücke (CVE-2026-27944) in nginx-ui, die Sicherungen mit Konfigurationsdateien und Verschlüsselungsschlüsseln offenlegt. Wer diesen Secret besitzt, kann MCP-Sessions aufbauen und beliebige Kommandos ausführen.
Zusätzlich ist die IP-Whitelist für den /mcp_message-Endpunkt standardmäßig leer — Verbindungen von überall sind möglich. Das ermöglicht Angriffen aus dem Internet.
Die praktischen Konsequenzen sind erheblich: NGINX läuft typischerweise als Reverse-Proxy vor produktiven Systemen. Wer die NGINX-Konfiguration kontrolliert, kontrolliert damit alles, was dahinter läuft. Ein Angreifer könnte Server-Blöcke umschreiben, um den gesamten Traffic durch seine Systeme zu leiten und jede Anfrage, Antwort und jeden Anmeldedaten abzufangen. Alternativ könnte er ungültige Konfigurationen einspielen und NGINX crashen lassen — und damit alle dahinter befindlichen Anwendungen offline nehmen.
Die Lücke zeigt ein zunehmendes Risiko: Wenn Entwickler MCP-Unterstützung hinzufügen, exponieren sie mächtige Operationen über neue HTTP-Endpoints. Während die Kernapplikation jahrelang bewährte Sicherheitsmechanismen hat, sind MCP-Endpoints neu und es ist leicht, dabei zu schnitzen. Besonders tückisch: MCP nutzt HTTP-Streaming über zwei separate Endpoints. Entwickler schützen oft den Verbindungsendpunkt, vergessen aber den Message-Endpoint, wo die destruktiven Operationen stattfinden.
Die Betreuer von nginx-ui haben Version 2.3.4 mit Patches veröffentlicht. Allerdings sollten Organisationen dringend prüfen, ob sie nginx-ui einsetzen — und diese sofort aktualisieren.