NGINX-Schwachstelle (CVE-2026-42945) wird ausgenutzt

Die vergangenen Tage ist die kritische Schwachstelle CVE-2026-42945 in der Software NGINX öffentlich geworden. Hatte ich aus bestimmten Gründen (auch weil eine Ausnutzung nur bei abgeschaltetem ASLR möglich ist) bisher im Blog nicht aufgegriffen. Ich trage nun einige Informationen zusammen, da es inzwischen eine aktive Ausnutzung dieser Schwachstelle gibt. Ergänzung vom 19.5.2026: POC zur Ausnutzung mit aktivem ASLR bekannt geworden.

Was ist NGINX?

NGINX ist ein populärer und breit eingesetzter Open Source Webserver, der auch als Reverse-Proxy, Load Balancer, Mail-Proxy und HTTP-Cache eingesetzt werden kann. Die Software wurde vom russischen Entwickler Igor Sysoev entwickelt und 2004 veröffentlicht. Ein großer Teil der Webserver nutzt NGINX, häufig als Lastverteiler.

Die NGINX-Schwachstelle (CVE-2026-42945)

Die Information über die Schwachstelle CVE-2026-42945 wurde so um den 13. Mai 2026 öffentlich. Nachfolgender Tweet fasst die Kernpunkt zusammen.

Bei der NGINX Schwachstelle CVE-2026-42945 handelt es sich um einen Heap-Pufferüberlauf im ngx_http_rewrite_module von NGINX. Denkbar sind Denial of Service-Angriffe (DOS). Im schlimmsten Fall ermöglicht die Sicherheitslücke eine Remote Code-Ausführung.

Die Schwachstelle ist seit 2008 im Code vorhanden und wurde mit einem CVSS 3.1-Score von 9.2 bewertet. Betroffen sind NGINX 0.6.27 bis 1.30.0, NGINX Plus R32–R36, Ingress Controller 3.5–5.4.x, Gateway Fabric, F5 WAF, App Protect. Entdeckt wurde die Schwachstelle von Zhenpeng (Leo) Lin bei DepthFirst AI mithilfe ihres autonomen Code-Analysesystems. Eine ausführliche Beschreibung findet sich im DepthFirst-Artikel NGINX Rift: Achieving NGINX Remote Code Execution via an 18-Year-Old Vulnerability.

RedHat hat beispielsweise eine Sicherheitswarnung veröffentlicht – auch von anderen Linux-Distributionen wie Debian etc., die NGINX enthalten, gibt es Warnungen. Eine Zusammenfassung findet sich auch hier. Allerdings hatte ich die Tage bereits auf X die Anmerkung gesehen, dass eine Ausnutzung der Schwachstelle nur mit ausgeschaltetem ASLR gegeben sei – und ASLR sollte bei NGINX standardmäßig eingeschaltet sein. Plesk hat diesen Artikel veröffentlicht, der auch Hinweise enthält, um zu prüfen, ob die Version angreifbar ist und ob ASLR deaktiviert wurde.

Die Schwachstelle (CVE-2026-42945) wird ausgenutzt

Nachfolgender Tweet weist darauf hin, dass 19 Millionen NGINX-Instanzen im Internet gefunden wurden. Dabei finden sich fast 1,8 Millionen Instanzen in Deutschland. Der Tweet weist aber darauf hin, dass nicht ab allen Instanzen ASLR deaktiviert sei.

Auf GitHub gibt es inzwischen einen Exploit für CVE-2026-42945. Da es im Blog bereits kurz angesprochen wurde und es inzwischen Versuche zur Ausnutzung gibt, habe ich das Thema aufgegriffen. The Hacker News greift es in nachfolgendem Tweet und im Beitrag NGINX CVE-2026-42945 Exploited in the Wild, Causing Worker Crashes and Possible RCE auf.

Angreifer können Worker mit einer einzigen Anfrage (siehe diesen Tweet) zum Absturz bringen, falls kein ASLR aktiviert ist.

Ergänzung: Zum 19.5.2026 habe ich die Information bekommen, dass ein Proof of Concept (PoC) zur Ausnutzung mit aktivem ASLR bekannt veröffentlicht wurde.