Hinweis: Dieser Beitrag enthaelt Affiliate-Links (mit * gekennzeichnet). Kaufst du über einen dieser Links, erhalte ich eine kleine Provision – für dich ändert sich der Preis nicht.
Du betreibst einen Webserver mit nginx-ui? Dann lies diesen Artikel JETZT zu Ende. Eine neue Super-Luecke reißt weltweit über 2.600 Server sperrangelweit auf. Hacker sind längst dran – und du merkst es vielleicht erst, wenn dein Server fremden Code spuckt.
SCHOCK-LUECKE CVE-2026-33032: Authentifizierung? EINFACH WEG!
Die neue Super-Luecke heisst CVE-2026-33032 und hat einen CVSS-Score von irren 9.8. Das ist praktisch das Maximum. Noch schlimmer: Sie wird aktiv in freier Wildbahn ausgenutzt.
Wie das Ganze funktioniert? Kinderleicht für den Angreifer. Der nginx-ui-Server hat einen MCP-Endpoint, der KEINE Authentifizierung prüft. Kein Passwort. Kein Token. Nichts. Ein Angreifer schickt einfach einen Request – und übernimmt deine komplette Nginx-Installation.
GEFAHR! Das blueht dir, wenn du NICHTS tust
Stell dir vor, jemand schreibt in deine Nginx-Config rein, was er will. Er kann deinen Traffic umleiten, Passwoerter mitlesen, Malware nachladen. Er kann deine Webseite in eine Phishing-Falle verwandeln, ohne dass du es merkst.
Bist du betroffen? Check das JETZT:
- Läuft bei dir nginx-ui?
- Ist der Admin-Port von außen erreichbar?
- Hast du das letzte Update noch NICHT eingespielt?
Wenn du auch nur EIN Ja dabei hast: SOFORT handeln.
So rettest du deinen Server in nur 5 MINUTEN!
Der Fix ist simpel. Aber jede Minute zählt.
- Update ziehen: Die neueste nginx-ui-Version enthaelt den Patch. Bei Docker:
docker pull uozi/nginx-ui:latestund Container neu starten. - Admin-Port schließen: Bind den Admin-Port NUR an
localhost. Zugriff über einen SSH-Tunnel oder ein VPN wie Tailscale. - Logs prüfen: Gab es in den letzten Tagen komische Requests an
/api/mcp/*? Wenn ja, gehe von einer Kompromittierung aus. - Passwoerter rotieren: ALLE SSH-Keys, DB-Passwoerter, Webseiten-Secrets – wenn der Server kompromittiert war, kennt sie der Angreifer.
EXTRA-TIPP: Backup VOR dem Patch!
Bevor du am Server schraubst, sicher ihn. Immer. Ein sauberes Backup nimmt dir den Schweiß von der Stirn, wenn beim Update etwas schief geht. Tools wie Acronis True Image* laufen im Hintergrund und spiegeln dein System komplett.
Warum das wichtig ist: Wenn ein Angreifer bereits drin war, reicht ein Patch nicht. Du brauchst ein sauberes Backup, das VOR der Kompromittierung gemacht wurde. Ohne Backup? Dann bleibt nur Neuinstallation.
UNGLAUBLICH: 2.600 Server noch OFFEN!
Sicherheitsforscher scannten das Internet und fanden über 2.600 verwundbare nginx-ui-Instanzen. Viele davon in Heim-Setups, viele in kleinen Hosting-Buden. Homelabs mit öffentlichem Zugang sind besonders gefaehrdet.
Warum so viele? Weil die meisten Admins nginx-ui hinter der Firewall wähnen. Ist aber leider nicht immer so. Ein falsch konfigurierter Reverse-Proxy, ein vergessener Port-Forward – und das Admin-Interface steht offen im Netz.
So prüft du, ob du exponiert bist – sofort
Kurzer Check vom eigenen Rechner außerhalb des Netzwerks:
curl -I https://deine-domain.de:8443/
Kommt eine Antwort vom nginx-ui? Dann bist du erreichbar. Das muss WEG. Entweder per Firewall-Regel oder per Bind-Adresse. Reverse-Proxy-Nutzer setzen eine Basic-Auth davor.
FAZIT: Nicht warten. JETZT patchen!
Die Kombination aus CVSS 9.8 und aktiver Ausnutzung ist die böseste Mischung, die es gibt. Das ist keine theoretische Gefahr. Das passiert GERADE.
Deine Checkliste:
- Update auf neueste nginx-ui-Version
- Admin-Port vom Internet abkoppeln
- Logs prüfen
- Backup jetzt – nicht später
Kümmer dich heute drum. Morgen ist es vielleicht zu spaet.