Kritische Schwachstelle im NGINX-Webserver entdeckt
Das Sicherheitsunternehmen Picus Security erläutert die NGINX-Rift-Schwachstelle CVE-2026-42945. Ein kritischer Heap-Buffer-Overflow ermöglicht Codeausführung aus der Ferne und war 18 Jahre lang unentdeckt.
Sicherheitsforscher von Picus Security haben eine kritische Schwachstelle im weit verbreiteten NGINX-Webserver detailliert beschrieben. Die als NGINX Rift bekannte Schwachstelle mit der Kennung CVE-2026-42945 ist ein Heap-Buffer-Overflow mit einer kritischen CVSS-Bewertung von 9.2. Sie war offenbar 18 Jahre lang im Code vorhanden, bevor sie am 13. Mai 2026 offengelegt wurde.
NGINX ist eine grundlegende Komponente für einen erheblichen Teil des Internets und betreibt schätzungsweise ein Drittel aller Websites. Diese weite Verbreitung bedeutet, dass eine Schwachstelle wie NGINX Rift erhebliche Auswirkungen auf globale Organisationen hat, da sie einen kritischen Punkt in der Netzwerkinfrastruktur betrifft, der oft direkt externen Anfragen ausgesetzt ist.
Picus Securitys Analyse deutet darauf hin, dass die Schwachstelle in der URL-Rewriting-Funktionalität von NGINX (ngx_http_rewrite_module) liegt. Ein nicht authentifizierter Angreifer aus der Ferne könnte dies potenziell ausnutzen, indem er speziell präparierte HTTP-Anfragen sendet, was zu Speicherbeschädigung und anschließender Codeausführung aus der Ferne führen kann. Das Sicherheitsunternehmen stellte fest, dass die Schwachstelle nicht nur das Open-Source-NGINX, sondern auch kommerzielle Produkte wie NGINX Plus und verschiedene F5 Web Application Firewall (WAF)-Lösungen, die NGINX integrieren, betrifft.
Neben NGINX Rift identifizierte Picus Security drei weitere Schwachstellen, die am selben Tag offengelegt wurden: CVE-2026-42946 (Denial of Service), CVE-2026-40701 (Use-after-free) und CVE-2026-42934 (Out-of-bounds read). Das Unternehmen lieferte technische Details zum Ausnutzungsmechanismus für CVE-2026-42945 und bot Anleitungen zu Abhilfestrategien an, einschließlich Konfigurationsüberprüfungen und Überwachung von verdächtigem Netzwerkverkehr.
Organisationen, die NGINX verwenden, wird dringend empfohlen, ihre Konfigurationen auf anfällige Rewriting-Regeln zu überprüfen und umgehend die notwendigen Sicherheitsupdates anzuwenden, um diese Risiken zu mindern. Das Unternehmen schlägt auch vor, auf ungewöhnliche URL-Muster und stark kodierte Payloads als potenzielle Anzeichen für Ausnutzungsversuche zu achten.