Kritisk sårbarhet upptäckt i NGINX-webbserver

Säkerhetsföretaget Picus Security har publicerat en analys av en kritisk säkerhetsbrist i NGINX-webbservern. Sårbarheten, kallad NGINX Rift och identifierad som CVE-2026-42945, är en heap buffer overflow med en kritisk CVSS-poäng på 9.2.

Bristen uppdagades den 13 maj 2026 och har funnits dold i NGINX-kodbasen i 18 år. NGINX är den mest använda webbservern globalt och driver ungefär en tredjedel av alla webbplatser. Dess omfattande spridning gör detta fynd särskilt betydelsefullt, då det utgör ett hot mot otaliga system.

Enligt Picus Security är sårbarheten kopplad till NGINX:s funktion för omskrivning av URL:er (ngx_http_rewrite_module). En angripare kan utnyttja detta genom att skicka specialutformade HTTP-förfrågningar, vilket kan leda till minneshanteringsfel och potentiellt fjärrexekvering av kod. Inverkan sträcker sig även till NGINX Plus och andra F5-produkter som använder NGINX.

Företaget tillhandahåller detaljer om hur sårbarheten fungerar, dess konsekvenser samt rekommendationer för diagnostik och åtgärder som en del av sin bredare säkerhetsanalys. Picus Security nämner även tre andra sårbarheter som upptäcktes samtidigt, relaterade till Denial of Service (CVE-2026-42946), use-after-free (CVE-2026-40701) och out-of-bounds read (CVE-2026-42934).

Organisationer uppmanas att granska sina NGINX-konfigurationer och uppdatera sin programvara utan dröjsmål. Som en tillfällig skyddsåtgärd rekommenderas försiktighet med omskrivningsregler och övervakning av misstänkta HTTP-förfrågningar.