CVE-2026-33032

Erfassen von Informationen

Nginx UI-Authentifizierungsumgehungsschwachstelle (CVE-2026-33032 / MCPwn)

Der Kern der Schwachstelle ist auf einen logischen Fehler bei der Routenregistrierung zurückzuführen: Der /mcp-Endpunkt ist durch die AuthRequired()-Middleware geschützt, aber sein gepaarter /mcp_message-Endpunkt, der verwendet wird, um Anweisungen für den eigentlichen Tool-Aufruf zu erhalten, wird ohne diese Authentifizierungs-Middleware bereitgestellt. Dadurch kann jeder Angreifer mit Netzwerkzugang zu dieser Benutzeroberfläche den Nginx-Dienst ohne Anmeldeinformationen übernehmen.

Sicherheitschef
Schreiben vom 19. April 2026 des Ständigen Vertreters von
077100