CVE-2026-42945: Kritieke NGINX kwetsbaarheid veroorzaakt RCE

Bron: BleepingComputer, 14 mei 2026

Er is een ernstig beveiligingslek gevonden in NGINX, een van de meest gebruikte webserverplatformen op het internet. Volgens BleepingComputer is de kwetsbaarheid, gevolgd als CVE-2026-42945, naar verluidt 18 jaar oud en treft NGINX-versies 0.6.27 tot en met 1.30.0. De kwetsbaarheid werd ontdekt door onderzoekers bij een bedrijf genaamd DepthFirst AI.

Wat is de kwetsbaarheid?

Volgens BleepingComputer bevindt het lek zich in een component genaamd ngx_http_rewrite_module. Het gaat om een type beveiligingszwakte die bekend staat als een heap buffer overflow, veroorzaakt door inconsistente verwerking van bepaalde herschrijfregels in de interne scriptengine van NGINX. In gewone taal: wanneer NGINX een URL-herschrijving verwerkt die een vraagteken bevat, berekent het onjuist hoeveel geheugen het nodig heeft en schrijft vervolgens meer gegevens dan er ruimte voor is gereserveerd. Dit kan ertoe leiden dat de server crasht (denial of service) en kan een aanvaller onder bepaalde omstandigheden naar verluidt in staat stellen eigen code op de server uit te voeren (remote code execution).

Onderzoekers bij DepthFirst AI vonden naar verluidt ook drie aanvullende kwetsbaarheden tijdens dezelfde codebeoordeling:

• CVE-2026-42946: overmatige geheugentoewijzing in de SCGI- en UWSGI-modules
• CVE-2026-40701: een use-after-free-fout in de manier waarop NGINX bepaalde DNS-bewerkingen afhandelt
• CVE-2026-42934: een off-by-one-fout bij het verwerken van UTF-8-tekst die kan leiden tot out-of-bounds reads

Wie wordt getroffen?

Volgens BleepingComputer omvatten de getroffen producten een breed scala aan NGINX-software die wordt onderhouden door F5:

• NGINX Open Source versies 0.6.27 tot en met 1.30.0
• NGINX Plus R32 tot en met R36
• NGINX Instance Manager 2.16.0 tot en met 2.21.1
• F5 WAF voor NGINX 5.9.0 tot en met 5.12.1
• NGINX App Protect WAF en DoS-producten over meerdere versiereeksen
• NGINX Gateway Fabric en NGINX Ingress Controller over meerdere versiereeksen

Wat heeft F5 gedaan?

Volgens BleepingComputer zijn er oplossingen beschikbaar in NGINX Open Source 1.31.0 en 1.30.1, NGINX Plus R36 P4 en NGINX Plus R32 P6. Voor degenen die niet onmiddellijk kunnen upgraden, adviseert F5 naar verluidt om naamloze PCRE-opnamegroepen in kwetsbare herschrijfregels te vervangen door benoemde opnamegroepen als tijdelijke oplossing.

Als u uw eigen server of hostingomgeving beheert, controleer dan welke versie van NGINX u gebruikt en werk deze zo snel mogelijk bij.

Wat betekent dit voor uw website?

Als uw website op een beheerd hostingpakket draait, is uw hostingprovider waarschijnlijk verantwoordelijk voor het up-to-date houden van de serversoftware, maar het is de moeite waard om hen te vragen of zij de NGINX-patches hebben toegepast. Als u of een ontwikkelaar uw eigen server beheert, controleer dan uw NGINX-versie aan de hand van de hierboven genoemde getroffen versiereeksen en werk deze tijdig bij. Voor een bredere kijk op het beveiligen van uw website, zie onze beveiligingschecklist voor kleine bedrijven.