F5 warnt vor Ausnutzung der NGINX-Schwachstelle (CVE-2026-42945)

Veröffentlicht am 28. Mai 2026 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Im Mai 2026 wurde eine kritische Schwachstelle CVE-2026-42945 in der Software NGINX (Web-Server etc.) öffentlich. Die Software ist in vielen Paketen enthalten und es gibt Angriffe auf ungepatchte Instanzen. F5 warnt nun seine Nutzer vor der Schwachstelle in NGINX Plus und NGINX, und ruft zum Patchen auf.

NGINX-Schwachstelle (CVE-2026-42945)

NGINX Plus und NGINX Open Source weisen eine Sicherheitslücke im Modul ngx_http_rewrite_module auf. Diese Sicherheitslücke tritt auf, wenn eine „rewrite"-Anweisung ein Regex-Muster mit unterschiedlichen, sich überschneidenden PCRE-Erfassungen (Perl-Compatible Regular Expression) (z. B. ^/((.*))$) und eine Ersetzungszeichenfolge verwendet, die auf mehrere solcher Erfassungen verweist (z. B. $1$2), und zwar im Kontext einer Weiterleitung oder von Argumenten.

Die Schwachstelle CVE-2026-42945 im Modul ngx_http_rewrite_module der Software NGINX ist inzwischen längst gepatcht und sollte ursprünglich nur bei abgeschaltetem ASLR ausgenutzt werden können. Ich hatte Mitte Mai 2026 im Beitrag NGINX-Schwachstelle (CVE-2026-42945) wird ausgenutzt über den Sachverhalt berichtet.

Inzwischen wurde aber bekannt, dass es Exploits gibt, die auch ASLR umgehen können. NGINX-Installationen sollten also dringend gepatcht werden. Diese Sicherheitslücke könnte es Angreifern ermöglichen, Remote einen Denial-of-Service (DoS) auf dem NGINX-System zu verursachen oder möglicherweise eine Codeausführung auszulösen.

F5 warnt vor der NGINX-Schwachstelle (CVE-2026-42945)

Stephan hat mich vor zwei Tagen per Mail mit "schon wieder NGINX und das Rewrite-Module" auf einen Beitrag bei heise hingewiesen. Dort wird angesprochen, dass Angriffe auf Webserver mit der Open-Source-Lösung NGINX und NGINX-Plus möglich seien. Basis ist die Warnung von F4 im Sicherheitshinweis K000161377: NGINX ngx_http_rewrite_module vulnerability CVE-2026-9256 vom 22. Mai, der zum 27. Mai 2026 nochmals aktualisiert wurde.

Die F5-Produktentwicklung hat dieser Sicherheitslücke (CWE-122: Heap-basierter Pufferüberlauf) die ID 161 (NGINX) zugewiesen. Im Sicherheitshinweis gibt es eine Übersicht, welche F5-Produkte im Hinblick auf die Schwachstelle überprüft wurden. Wenn ich mich nicht verlesen habe, sind die F5-Produkte BIG-IP Next, BIG-IP und BIG-IQ nicht angreifbar. Lediglich ältere Produkte, die NGINX einsetzen und aus dem Support gefallen sind, weisen die obige Schwachstelle auf.

Dieser Beitrag wurde unter Allgemein, Sicherheit, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen für den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.