nginx-ui: Kritische Auth-Bypass-Lücke CVE‑2026‑33032 ermöglicht vollständige Serverübernahme
Eine kritische Schwachstelle in der nginx-ui-Weboberfläche wird aktiv ausgenutzt: CVE-2026-33032 erlaubt Angreifern ohne jede Authentifizierung die vollständige Übernahme eines Nginx-Servers. Über 2.600 verwundbare Instanzen sind im Internet erreichbar. Ein Patch steht bereit.
Eine kritische Sicherheitslücke in der Open-Source-Weboberfläche nginx-ui wird seit kurz nach ihrer Offenlegung aktiv ausgenutzt. Die Schwachstelle CVE-2026-33032 erhielt einen CVSS-Score von 9.8 und ermöglicht es Angreifern, ohne jede Authentifizierung vollständige Kontrolle über den zugrundeliegenden Nginx-Webserver zu erlangen. Sicherheitsbehörden in Singapur und Kanada haben bereits offizielle Warnungen herausgegeben. Über 2.600 verwundbare Instanzen sind laut Internet-Scans öffentlich erreichbar.
Die Schwachstelle im Detail
Die Lücke befindet sich im MCP-Endpunkt der nginx-ui-Weboberfläche. Ein einziger HTTP-Request ohne gültige Anmeldedaten genügt, um die Authentifizierungsschranke zu umgehen. Nach erfolgreichem Zugriff können Angreifer die gesamte Nginx-Konfiguration einsehen und verändern, den Webserver-Dienst neu starten sowie den Datenverkehr abfangen oder unterbrechen.
Betroffen sind alle nginx-ui-Versionen vor 2.3.6. Ein erster Patch wurde am 15. März 2026 mit Version 2.3.4 veröffentlicht; die vollständig abgesicherte Version trägt die Nummer 2.3.6. Kurz nach der öffentlichen Offenlegung wurde ein Proof-of-Concept bekannt, der die Ausnutzung weiter vereinfacht und die beobachteten aktiven Angriffe begünstigt.
Warnungen wurden von der Cyber Security Agency of Singapore (CSA) sowie dem Canadian Centre for Cyber Security veröffentlicht. Die Sicherheitsfirma runZero dokumentierte zudem, wie betroffene Assets im Netzwerk aufgespürt werden können.
Bin ich betroffen?
Administratoren, die nginx-ui als Verwaltungsoberfläche für Nginx einsetzen, sollten umgehend prüfen, welche Version installiert ist. Betroffen sind alle Installationen mit einer nginx-ui-Version kleiner als 2.3.6. Die installierte Version lässt sich in der nginx-ui-Oberfläche unter den Systemeinstellungen oder direkt über die Kommandozeile einsehen:
nginx-ui --versionBesonders dringend ist die Überprüfung, wenn die nginx-ui-Administrationsoberfläche über das Internet erreichbar ist. Bereits über 2.600 solcher öffentlich exponierter und verwundbarer Instanzen wurden bei Scans identifiziert. Auch Instanzen hinter einem internen Netzwerk sind zu prüfen, da Angreifer, die sich bereits Zugang verschafft haben, die Lücke für laterale Bewegungen nutzen können.
Wie eine grundlegende Absicherung eines Linux-Servers mit Firewall und Zugriffsbeschränkungen funktioniert, beschreibt die Anleitung Linux-Server absichern mit UFW und Fail2ban auf s-edv.com.
Wie behebe ich das?
Die empfohlene Sofortmaßnahme ist ein Update auf nginx-ui Version 2.3.6 oder höher. Die Aktualisierung sollte so schnell wie möglich erfolgen, da Exploits öffentlich verfügbar sind und aktiv eingesetzt werden.
Zusätzlich zum Update gelten folgende Mitigationsmaßnahmen:
- Admin-Oberfläche nicht öffentlich exponieren: Die nginx-ui-Verwaltungsoberfläche sollte niemals direkt über das Internet erreichbar sein.
- Zugriff auf vertrauenswürdige IP-Adressen beschränken: Firewall-Regeln oder Reverse-Proxy-Konfigurationen sollten den Zugriff auf bekannte, administrative IP-Adressen begrenzen.
- Netzwerkverkehr überwachen: Verdächtige Anfragen an den MCP-Endpunkt von nginx-ui sollten in Logs und Monitoring auffallen.
Für Umgebungen, in denen nginx-ui hinter einem Reverse-Proxy betrieben wird, bietet die Anleitung Nginx als Reverse-Proxy mit TLS einrichten einen praxisnahen Einstieg in die sichere Konfiguration.
Was bedeutet das für Unternehmen?
CVE-2026-33032 ist eine der gefährlichsten Schwachstellen, die Nginx-Betreiber in letzter Zeit betreffen: Der Angriff erfordert keinerlei Vorkenntnisse über das Zielsystem, keine gestohlenen Zugangsdaten und keinen privilegierten Netzwerkzugang. Ein einzelner HTTP-Request reicht aus.
Die Folgen einer erfolgreichen Ausnutzung gehen weit über den betroffenen nginx-ui-Server hinaus. Da Nginx-Webserver häufig als zentrale Einstiegspunkte für Webanwendungen, APIs und interne Dienste fungieren, eröffnet eine vollständige Kompromittierung Angreifern die Möglichkeit zu Man-in-the-Middle-Angriffen auf den gesamten Webtraffic sowie zu einer Ausweitung des Zugriffs auf angebundene interne Netzwerke. Vertrauliche Daten, Kundeninformationen und interne Kommunikation können abgefangen werden.
Angesichts des öffentlich verfügbaren Proof-of-Concept, der aktiven Ausnutzung und der hohen Anzahl exponierter Instanzen ist die Dringlichkeit als kritisch einzustufen. Unternehmen sollten das Update nicht auf den nächsten regulären Wartungszyklus verschieben, sondern unmittelbar handeln. Eine Inventarisierung aller nginx-ui-Installationen in der eigenen Infrastruktur ist der erste Schritt – auch in virtualisierten und containerisierten Umgebungen.
Zur strukturierten Einschätzung, wie mit aktiven Sicherheitsvorfällen umzugehen ist, empfiehlt sich die Anleitung Ransomware-Notfallplan: Die ersten 60 Minuten als Orientierung für die ersten Reaktionsschritte.
Quellen
- The Hacker News: Actively Exploited nginx-ui Flaw (CVE-2026-33032) Enables Full Nginx Server Takeover
- Cyber Security Agency of Singapore: Critical Vulnerability in Nginx UI (AL-2026-039)
- Canadian Centre for Cyber Security: Nginx UI Security Advisory (AV26-360)
- runZero: Nginx UI vulnerability CVE-2026-27944 – how to find affected assets
