Die Schwachstelle trägt die Kennung CVE-2026-33032. Ursache ist, dass nginx-ui den Endpunkt „/mcp_message" ohne jeden Zugriffsschutz bereitstellt. In der Beschreibung des US-amerikanischen National Vulnerability Database (NVD) fasst NIST das Problem so zusammen: Jeder Angreifer mit Netzwerkzugang könne sämtliche MCP-Werkzeuge ohne Authentifizierung aufrufen – darunter das Neustarten von Nginx, das Erstellen, Ändern und Löschen von Konfigurationsdateien sowie das Auslösen automatischer Konfigurations-Neuladevorgänge – und damit die vollständige Kontrolle über den Nginx-Dienst erlangen.

Der zeitliche Ablauf zeigt, dass die Lücke schnell gemeldet und behoben wurde: Forscher des auf KI-Workflow-Sicherheit spezialisierten Unternehmens Pluto Security AI meldeten den Fehler, und Nginx veröffentlichte einen Tag darauf mit Version 2.3.4 einen Fix. Die Schwachstellenkennung sowie technische Details und ein Proof-of-Concept-Exploit wurden allerdings erst gegen Ende des Monats öffentlich. In seinem aktuellen „CVE Landscape"-Bericht hält Recorded Future fest, dass CVE-2026-33032 aktiv ausgenutzt wird.

Wie verbreitet die betroffene Software ist, lässt sich an den Zahlen ablesen: Nginx UI kommt auf GitHub auf mehr als 11.000 Sterne und über 430.000 Docker-Pulls. Internet-Scans von Pluto Security über die Suchmaschine Shodan ergaben rund 2.600 öffentlich erreichbare Instanzen, die potenziell angreifbar sind. Die meisten davon stehen in China, den USA, Indonesien, Deutschland und Hongkong.

Den technischen Ablauf eines Angriffs beschreibt Yotam Perkal von Pluto Security: Nötig ist lediglich Netzwerkzugang. Der Angreifer baut eine SSE-Verbindung auf, öffnet eine MCP-Sitzung und nutzt anschließend die zurückgegebene „sessionID", um Anfragen an den Endpunkt „/mcp_message" zu senden. Darüber lassen sich ohne Authentifizierung MCP-Werkzeuge aufrufen. Eine Demonstration von Pluto Security zeigt, wie ein Angreifer über den ungeschützten Endpunkt privilegierte Nginx-Verwaltungsaktionen ausführt, Konfigurationen einschleust und so die Kontrolle über den Server übernimmt – durchgehend ohne Anmeldung.

Angesichts der laufenden Ausnutzung und der verfügbaren öffentlichen Proof-of-Concepts wird Administratoren empfohlen, die bereitstehenden Sicherheitsupdates umgehend einzuspielen. Die aktuell sichere Version von nginx-ui ist 2.3.6, die in der vergangenen Woche erschienen ist.