Kritische Sicherheitslücke in Nginx-Webservern: Angreifer könnten das Sagen haben – Jetzt handeln!
Sicherheitsforscher warnen vor einer ernstzunehmenden Gefahr im Web: Angreifer können durch eine Schwachstelle in Nginx-Webservern die volle Kontrolle über diese Systeme erlangen. Diese „kritische“ Schwachstelle (CVE-2026-33032) betrifft das nginx-ui MCP (Model Context Protocol) und ermöglicht es Remote-Angreifern, ohne jegliche Authentifizierung auf bestimmte HTTP-Endpoints zuzugreifen. Durch präparierte HTTP-Anfragen können sie die Server manipulieren und Konfigurationen ändern, wodurch sie letztendlich die vollständige Kontrolle erlangen. Die Sicherheitslücke wurde im März dieses Jahres mit einer aktualisierten Version von Nginx (v2.3.4) geschlossen. Es existiert zudem eine aktuellere stabile Version (v2.3.6). Tragischerweise zeigen Untersuchungen, dass diese Updates noch nicht flächendeckend installiert wurden. Laut Forschern von Pluto Security, die diesen Alarm ausriefen, wurden weltweit via Shodan fast 2700 verwundbare Nginx-Instanzen über das Internet gefunden, mit einem Schwerpunkt in China und den USA. Auch in Deutschland sind trotz Verfügbarkeit des Patches noch etwa 235 verwundbare Server öffentlich erreichbar. Die genauen Auswirkungen dieser Lücke und das Ausmaß der Angriffe sind derzeit noch unklar. Pluto Securitys Bericht liefert jedoch detaillierte Einblicke in die Angriffstechniken und die Funktionsweise der Schwachstelle. Neben der Aufdeckung des Problems bieten sie auch konkrete Hinweise für Administratoren, anhand derer sie bereits attackierte Systeme erkennen können. Die dringende Handlungsanweisung lautet: Serveradministratoren sollten umgehend handeln und ihre Nginx-Installationen auf die sichere Version aktualisieren. Falls eine sofortige Aktualisierung nicht möglich ist, sollte MCP vorübergehend deaktiviert werden, um das Risiko zu minimieren. Nur durch zeitnahes Handeln kann man diesem weitreichenden Sicherheitsrisiko effektiv begegnen und die Kontrolle über Webserver sichern.
Schlagwörter: MCP + kritische“ Schwachstelle + CVE-2026-33032
Wie bewerten Sie den Schreibstil des Artikels?