NGINX-Sicherheitslücke: DoS und RCE möglich

Quelle: BleepingComputer, 14. Mai 2026

In NGINX, einer der am weitesten verbreiteten Webserver-Plattformen im Internet, wurde eine schwerwiegende Sicherheitslücke entdeckt. Laut BleepingComputer ist die Schwachstelle, die unter der Kennung CVE-2026-42945 geführt wird, offenbar 18 Jahre alt und betrifft NGINX-Versionen 0.6.27 bis 1.30.0. Entdeckt wurde sie von Forschern des Unternehmens DepthFirst AI.

Was ist die Schwachstelle?

Laut BleepingComputer liegt der Fehler in einer Komponente namens ngx_http_rewrite_module. Es handelt sich um eine Sicherheitsschwäche, die als Heap-Buffer-Overflow bekannt ist und durch eine inkonsistente Verarbeitung bestimmter Rewrite-Regeln in der internen Skript-Engine von NGINX verursacht wird. Vereinfacht ausgedrückt: Wenn NGINX eine URL-Umleitung verarbeitet, die ein Fragezeichen enthält, berechnet es den benötigten Speicherbedarf falsch und schreibt anschließend mehr Daten, als Speicherplatz reserviert wurde. Dies kann dazu führen, dass der Server abstürzt (Denial of Service) und unter bestimmten Umständen einem Angreifer ermöglichen, eigenen Code auf dem Server auszuführen (Remote Code Execution).

Forscher bei DepthFirst AI haben in derselben Code-Überprüfung offenbar drei weitere Schwachstellen entdeckt:

• CVE-2026-42946: Übermäßige Speicherzuweisung in den SCGI- und UWSGI-Modulen
• CVE-2026-40701: Ein Use-after-free-Fehler bei der Verarbeitung bestimmter DNS-Operationen durch NGINX
• CVE-2026-42934: Ein Off-by-one-Fehler beim UTF-8-Text-Parsing, der zu Lesezugriffen außerhalb des zulässigen Speicherbereichs führen kann

Wer ist betroffen?

Laut BleepingComputer umfassen die betroffenen Produkte eine breite Palette von NGINX-Software, die von F5 gepflegt wird:

• NGINX Open Source Versionen 0.6.27 bis 1.30.0
• NGINX Plus R32 bis R36
• NGINX Instance Manager 2.16.0 bis 2.21.1
• F5 WAF für NGINX 5.9.0 bis 5.12.1
• NGINX App Protect WAF und DoS-Produkte über mehrere Versionsbereiche
• NGINX Gateway Fabric und NGINX Ingress Controller über mehrere Versionsbereiche

Was hat F5 unternommen?

Laut BleepingComputer stehen Korrekturen in NGINX Open Source 1.31.0 und 1.30.1, NGINX Plus R36 P4 sowie NGINX Plus R32 P6 zur Verfügung. Für diejenigen, die kein sofortiges Update durchführen können, empfiehlt F5 offenbar, unbenannte PCRE-Capture-Gruppen in betroffenen Rewrite-Regeln durch benannte Captures zu ersetzen, als vorübergehende Abhilfemaßnahme.

Wenn Sie Ihren eigenen Server oder Ihre Hosting-Umgebung selbst verwalten, prüfen Sie, welche NGINX-Version Sie einsetzen, und führen Sie das Update so bald wie möglich durch.

Was bedeutet das für Ihre Website?

Wenn Ihre Website auf einem verwalteten Hosting-Paket läuft, ist Ihr Hosting-Anbieter in der Regel dafür verantwortlich, die Server-Software aktuell zu halten. Es lohnt sich jedoch, ihn direkt zu fragen, ob die NGINX-Patches bereits eingespielt wurden. Wenn Sie oder ein Entwickler Ihren eigenen Server betreiben, gleichen Sie Ihre NGINX-Version mit den oben genannten betroffenen Versionsbereichen ab und führen Sie das Update zeitnah durch. Einen umfassenderen Überblick darüber, wie Sie Ihre Website absichern können, finden Sie in unserer Sicherheits-Checkliste für kleine Unternehmen.