NGINX-palvelimessa paljastui kriittinen haavoittuvuus

Tietoturvayhtiö Picus Security on julkaissut analyysin kriittisestä tietoturvahaavoittuvuudesta NGINX-verkkopalvelimessa. Haavoittuvuus, nimeltään NGINX Rift ja tunnist enumeroitu CVE-2026-42945, on tyypiltään kekomuistivuoto (heap buffer overflow) ja sen vakavuusaste on kriittinen (CVSS 9.2).

Haavoittuvuuden löydöksestä kerrottiin 13. toukokuuta 2026, ja se on ollut piilossa NGINX:n koodissa jo 18 vuotta. NGINX on maailmanlaajuisesti yleisimmin käytetty verkkopalvelin, joka pyörittää arviolta kolmasosaa kaikista verkkosivustoista. Sen laaja käyttöaste tekee tästä löydöksestä erittäin merkittävän, sillä se uhkaa lukuisia järjestelmiä.

Picus Securityn mukaan haavoittuvuus liittyy NGINX:n URL-uudelleenkirjoitusominaisuuteen (ngx_http_rewrite_module). Hyökkääjä voi hyödyntää sitä lähettämällä erikoisesti muotoiltuja HTTP-pyyntöjä, jotka voivat johtaa muistinhallinnan pettämiseen ja lopulta etäkoodin suorittamiseen. Vaikutus ulottuu myös NGINX Plusiin ja muihin F5:n tuotteisiin, jotka käyttävät NGINX:ää.

Yhtiö tarjoaa tietoa haavoittuvuuden toiminnasta, sen vaikutuksista sekä neuvoja sen diagnosointiin ja korjaamiseen osana laajempaa tietoturvatutkimustaan. Lisäksi Picus Security mainitsee samanaikaisesti löydetyt kolme muuta haavoittuvuutta, jotka liittyvät palvelunestohyökkäyksiin (CVE-2026-42946), muistin käyttöön julkaisun jälkeen (CVE-2026-40701) ja muistin lukuvirheisiin (CVE-2026-42934).

Organisaatioita kehotetaan tarkistamaan NGINX-konfiguraationsa ja päivittämään ohjelmistonsa viipymättä. Väliaikaisena suojakeinona suositellaan tarkkuutta uudelleenkirjoitussääntöjen kanssa ja epäilyttävien HTTP-pyyntöjen tarkkailua.