NGINX-Schwachstelle (CVE-2026-42945) wird ausgenutzt

Veröffentlicht am 17. Mai 2026 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Die vergangenen Tage ist die kritisches Schwachstelle CVE-2026-42945 in der Software NGINX öffentlich geworden. Hatte ich aus bestimmten Gründen (auch weil eine Ausnutzung nur bei abgeschaltetem ASLR möglich ist) bisher im Blog nicht aufgegriffen. Ich trage nun einige Informationen zusammen, da es inzwischen eine aktive Ausnutzung dieser Schwachstelle gibt.

Was ist NGINX?

NGINX ist ein populärer und breit eingesetzter Open Source Webserver, der auch als Reverse-Proxy, Load Balancer, Mail-Proxy und HTTP-Cache eingesetzt werden kann. Die Software wurde vom russischen Entwickler Igor Sysoev entwickelt und 2004 veröffentlicht. Ein großer Teil der Webserver nutzt NGINX, häufig als Lastverteiler.

Die NGINX-Schwachstelle (CVE-2026-42945)

Die Information über die Schwachstelle CVE-2026-42945 wurde so um den 13. Mai 2026 öffentlich. Nachfolgender Tweet fasst die Kernpunkt zusammen.

NGINX Schwachstelle CVE-2026-42945

Bei der NGINX Schwachstelle CVE-2026-42945 handelt es sich um einen Heap-Pufferüberlauf im ngx_http_rewrite_module von NGINX. Denkbar sind Denial of Service-Angriffe (DOS). Im schlimmsten Fall ermöglicht die Sicherheitslücke eine Remote Code-Ausführung.

Die Schwachstelle ist seit 2008 im Code vorhanden und wurde mit einem CVSS 3.1-Score von 9.2 bewertet. Betroffen sind NGINX 0.6.27 bis 1.30.0, NGINX Plus R32–R36, Ingress Controller 3.5–5.4.x, Gateway Fabric, F5 WAF, App Protect. Entdeckt wurde die Schwachstelle von Zhenpeng (Leo) Lin bei DepthFirst AI mithilfe ihres autonomen Code-Analysesystems. Eine ausführliche Beschreibung findet sich im DepthFirst-Artikel NGINX Rift: Achieving NGINX Remote Code Execution via an 18-Year-Old Vulnerability.

RedHat hat beispielsweise eine Sicherheitswarnung veröffentlicht – auch von anderen Linux-Distributionen wie Debian etc., die NGINX enthalten, gibt es Warnungen. Eine Zusammenfassung findet sich auch hier. Allerdings hatte ich die Tage bereits auf X die Anmerkung gesehen, dass eine Ausnutzung der Schwachstelle nur mit ausgeschaltetem ASLR gegeben sei – und ASLR sollte bei NGINX standardmäßig eingeschaltet sein. Plesk hat diesen Artikel veröffentlicht, der auch Hinweise enthält, um zu prüfen, ob die Version angreifbar ist und ob ASLR deaktiviert wurde.

Die Schwachstelle (CVE-2026-42945) wird ausgenutzt

Nachfolgender Tweet weist darauf hin, dass 19 Millionen NGINX-Instanzen im Internet gefunden wurden. Dabei finden sich fast 1,8 Millionen Instanzen in Deutschland. Der Tweet weist aber darauf hin, dass nicht ab allen Instanzen ASLR deaktiviert sei.

NGINX Instanzen

Auf GitHub gibt es inzwischen einen Exploit für CVE-2026-42945. Da es im Blog bereits kurz angesprochen wurde und es inzwischen Versuche zur Ausnutzung gibt, habe ich das Thema aufgegriffen. The Hacker News greift es in nachfolgendem Tweet und im Beitrag NGINX CVE-2026-42945 Exploited in the Wild, Causing Worker Crashes and Possible RCE auf.

NGINX Schwachstelle wird angegriffen

Angreifer können Worker mit einer einzigen Anfrage zum Absturz bringen, falls kein ASLR aktiviert ist.

 

 

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.