# Zusammenfassung: Reddit-Post r/homelab — „If you are using NginxUI read this post" ## Was ich gemacht habe Ich habe versucht, den Reddit-Post unter https://www.reddit.com/r/homelab/comments/1tw1c8g/ zu scrapen. ## Ergebnis des Scrapings **Der Reddit-Post selbst konnte leider nicht direkt abgerufen werden.** Reddit blockierte alle Zugriffsversuche (HTTP 403 bei JSON-API, Blockierung bei old.reddit.com, PullPush.io lieferte leere Daten). Auch Suchmaschinen-Caches (Google Cache, Bing, DuckDuckGo) waren nicht erfolgreich. **ABER:** Ich habe stattdessen umfangreiche Sicherheitsinformationen zu NginxUI aus GitHub Security Advisories und der NVD-Datenbank gesammelt, die höchstwahrscheinlich den Kontext dieses Warn-Posts darstellen. --- ## Was ist NginxUI? NginxUI (github.com/0xJacky/nginx-ui) ist ein Web-basiertes Benutzerinterface für den Nginx-Webserver. Es erlaubt die Verwaltung von Nginx-Konfigurationen, SSL-Zertifikaten, Logs und vielem mehr über eine grafische Oberfläche. --- ## Warum der Warn-Post (sehr wahrscheinlich) NginxUI hat **im Jahr 2026 eine massive Welle von kritischen Sicherheitslücken** offengelegt bekommen. Insgesamt wurden **17 Security Advisories** auf GitHub veröffentlicht. Hier die gravierendsten: ### 🔴 Kritisch (CVSS 9.8) — Unauthenticated Backup Download + Key Disclosure - **CVE-2026-27944 / GHSA-g9w5-qffc-6762** (März 2026) - Der Endpunkt `/api/backup` ist **ohne Authentifizierung** erreichbar - Gibt **Vollbackup** inkl. Datenbank, SSL-Private-Keys, Nginx-Konfiguration preis - Die Verschlüsselungsschlüssel (AES-Key + IV) werden im `X-Backup-Security` HTTP-Header **im Klartext** mitgesendet - Angreifer kann komplette Systemdaten exfiltrieren und entschlüsseln ### 🔴 Kritisch (CVSS 9.8) — Unauthenticated RCE via Backup Restore - **CVE-2026-42238** (April 2026) - `POST /api/restore` ist in den **ersten 10 Minuten nach dem Start** ohne Auth zugänglich - Angreifer lädt manipuliertes Backup hoch → überschreibt `app.ini` und SQLite-DB - Injiziert beliebigen OS-Befehl in `TestConfigCmd` → wird beim Auto-Restart als **root** ausgeführt (in Docker) - **Gepatcht in Version 2.3.8** ### 🔴 Kritisch — Unauthenticated MCP Endpoint → Nginx-Takeover - **CVE-2026-33032 / GHSA-h6c2-x2m2-mwhf** (März 2026) - `/mcp_message` Endpunkt **ohne Authentifizierung** (nur `/mcp` hatte Auth) - IP-Whitelist ist standardmäßig **leer** → Middleware erlaubt alle Anfragen (fail-open) - Angreifer kann: Nginx-Konfigurationen erstellen/ändern/löschen, Nginx neustarten/reloaden - **Vollständige Übernahme des Nginx-Servers ohne Authentifizierung** ### 🟠 Hoch — SSRF ermöglicht Zugriff auf interne Dienste - **CVE-2026-44015** (April 2026) - Authentifizierter Angreifer kann Cluster-Node auf `127.0.0.1` oder Cloud-Metadata-Endpunkte zeigen lassen - Proxy-Middleware leitet Anfragen an interne Dienste weiter - Ermöglicht Port-Scanning interner Netze und Zugriff auf Cloud-IAM-Credentials ### 🟠 Hoch — Unauthenticated First-Run Installer - **CVE-2026-42221** (April 2026): Erster Admin-Account kann von jedem angelegt werden - **CVE-2026-42222** (April 2026): `POST /api/install` ohne Auth → komplette Bootstrap-Übernahme ### 🟠 Hoch — Cross-Site WebSocket Hijacking - **CVE-2026-34403** (April 2026): Keine Origin-Validierung auf WebSocket-Endpunkten ### 🟡 Mittel — Weitere Lücken - **CVE-2026-42220**: Auth-Einstellungen (node_secret) über Settings-API auslesbar - **CVE-2026-33029**: DoS via negative Integer in Logrotate-Intervall - **CVE-2026-33030**: DNS-API-Tokens und ACME-Private-Keys unverschlüsselt gespeichert - **CVE-2026-33031**: Deaktivierte User behalten vollen API-Zugriff via Bearer-Token ### 🟠 Hoch (älter, 2024) - **CVE-2024-49368**: Ungeprüfte Logrotate-Einstellungen → Arbitrary Command Execution - **CVE-2024-23828**: Authenticated RCE via CRLF-Injection in App-Konfiguration --- ## USB-/Hardware-Relevanz **Keine USB- oder Hardware-bezogenen Inhalte gefunden.** Die Sicherheitslücken von NginxUI betreffen ausschließlich die Netzwerk-/Web-Ebene (HTTP-API, Backup/Restore, MCP-Integration, SSRF). Es wurden keine Hinweise auf USB-Geräte, Hardware-Tokens oder physische Angriffsvektoren in den 17 Security Advisories oder den zugehörigen PoCs gefunden. --- ## Handlungsempfehlung 1. **Sofort auf Version ≥ 2.3.8 updaten** (oder das Projekt ggf. ersetzen) 2. Backup-Endpoint mit Authentifizierung absichern 3. MCP-Endpoints deaktivieren, wenn nicht benötigt 4. IP-Whitelist konfigurieren (nicht leer lassen!) 5. `node_secret` rotieren 6. Firewall-Regeln prüfen — NginxUI nicht öffentlich exposen --- ## Einschränkungen - Der eigentliche Reddit-Beitrag konnte nicht abgerufen werden (Netzwerk-Blockierung) - Die Zusammenfassung basiert auf GitHub Security Advisories und NVD-Einträgen als Kontext - Es ist sehr wahrscheinlich, dass der Reddit-Post genau vor diesen oben beschriebenen Schwachstellen warnt - Post-ID-Decodierung ergab ein Datum von 1970 — dies deutet darauf hin, dass die Reddit-ID möglicherweise aus einem neueren ID-Schema stammt oder der Post gelöscht/privat ist