Eine Lücke im ngx_http_rewrite_module von NGINX Open Source und NGINX Plus erlaubt Denial-of-Service-Zustände und in seltenen Fällen Codeausführung. Angreifer nutzen die Schwachstelle bereits aus.
CVE-2026-42945 erhält einen CVSS-3.1-Score von 8.1 beziehungsweise 9.2 nach CVSS 4. Die Lücke greift, wenn eine rewrite-Direktive eine unbenannte PCRE-Capture-Gruppe wie $1 oder $2 verwendet, die Ersatzzeichenfolge ein Fragezeichen enthält und im selben Kontext eine weitere rewrite-, if- oder set-Direktive folgt. Unter diesen Bedingungen lösen speziell präparierte HTTP-Anfragen einen Heap-basierten Buffer Overflow im NGINX-Worker-Prozess aus – ohne Authentifizierung.
Typischerweise startet der betroffene Worker-Prozess neu, was zu einem Denial-of-Service führt. Ist Address Space Layout Randomization (ASLR) deaktiviert, ist auch Remote Code Execution möglich. Ein Proof-of-Concept liegt vor, und laut VulnCheck wird die Lücke bereits missbraucht. Parallel veröffentlichte der Sicherheitsdienstleister F5 weitere Schwachstellen in NGINX Open Source und Plus.
Was jetzt zu tun ist:
- Verfügbare Updates umgehend einspielen
Falls kein Patch möglich: betroffene Rewrite-Regeln anpassen
PRÄVENTION & DETEKTION
Durch automatisierte Schwachstellenscans, Risikoanalysen und einen Sichtbarkeits‑Check aller extern erreichbaren Systeme identifiziert LocateRisk potenzielle Angriffsflächen frühzeitig. Risiken werden anhand objektiver Sicherheitsmetriken bewertet und übersichtlich in Dashboards und Scorecards dargestellt.
Autor: Michael Niers
