Kritische Sicherheitslücke: Entwickler reparieren Nginx UI erneut

Admins, die für ihre Webserver auf nginx-Basis die Weboberfläche Nginx UI nutzen, sollten die Software zeitnah auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer an mehreren Sicherheitslücken ansetzen und im schlimmsten Fall Systeme vollständig kompromittieren.

Admin-Attacken möglich

Eine Schwachstelle (CVE-2026-42238) gilt als „kritisch“. Weil bei jeder Neuinstallation und jedem Neustart die Backup-Restore-Points für zehn Minuten ohne Authentifizierung ansprechbar sind, können entfernte Angreifer manipulierte Backups hochladen. Dabei können sie die Konfigurationsdatei app.ini mit eigenen Befehlen überschreiben und die volle Kontrolle über Instanzen erlangen.

Durch das erfolgreiche Ausnutzen einer weiteren Lücke (CVE-2026-42221 „hoch“) können Angreifer im Zuge der Ersteinrichtung Admin-Accounts kapern. Das soll ohne Authentifizierung möglich sein.

Über die verbleibenden Schwachstellen können unter anderem eigentlich geheime Daten leaken (CVE-2026-42223 „mittel“). Die Entwickler versichern, die Sicherheitsprobleme in Nginx UI 2.3.8 gelöst zu haben. Bislang gibt es keine Hinweise des Softwareherstellers, dass Angreifer die Schwachstellen bereits ausnutzen. Admins sollten mit dem Patchen aber nicht zu lange zögern. Weiterführende Informationen zu den Sicherheitslücken und wie Angriffe ablaufen könnten, finden Admins in den unterhalb dieser Meldung verlinkten Warnmeldungen.

Erst kürzlich haben die Entwickler kritische Lücken in dem Web-Managementtool geschlossen.

Die Liste der Schwachstellen, nach Bedrohungsgrad absteigend sortiert:

(des)