18 Jahre alte Schwachstelle in NGINX-Produkten ausgenutzt

Die kritische Sicherheitslücke soll sich schon seit 18 Jahren im ngX_http_rewrite_module befinden. Das Modul wird in mehreren NGINX-Produkten eingesetzt. Nicht authentifizierte Angreifende können über die Lücke unter bestimmten Voraussetzungen einen RCE-Angriff (Remote Code Execution) ausführen, der je nach ausgeführtem Schadcode weitreichende Folgen haben kann. Auch der Absturz von Prozessen (DoS: Denial of Service) ist möglich. Ursache ist ein Heap-Buffer-Overflow.

Die Schwachstelle wurde bereits aktiv und erfolgreich ausgenutzt und ein PoC (Proof of Concept) ist verfügbar, der die Ausnutzbarkeit vereinfacht. Die Kennung der Lücke ist CVE-2026-42945 (EUVD-2026-30010), der CVSS-Base-Score liegt bei 9.2/10. Eine Liste der betroffenen Produkte und Versionen sowie der gepatchten Versionen finden Sie im Sicherheitshinweis von F5 (siehe Link unten).

Dies berichten der Hersteller F5, das KI-Sicherheitsunternehmen Depthfirst und verschiedene Plattformen sowie Medien.

Der Marktanteil von NGINX-Webservern wird mit ca. 33 bis 35 Prozent angegeben.

• Aktualisieren Sie die betroffenen Produkte schnellstmöglich mit den verfügbaren Patches.
• Wenn noch kein Patch verfügbar ist, prüfen Sie in kurzen Zeitabständen, ob ein Patch verfügbar ist, und installieren Sie diesen.
• Alternativ können Sie das rewrite-Modul deaktivieren. Dies kann jedoch zu Funktionseinschränkungen der Website führen.