Auf den Punkt: Die NGINX-Sicherheitslücke CVE-2026-42945 wird bereits aktiv ausgenutzt und ermöglicht das Absturzen von Worker-Prozessen oder möglicherweise Remote-Code-Ausführung. Besonders kritisch ist die breite Betroffenheit aller NGINX-Versionen ab 0.6.
Eine kritische Schwachstelle in NGINX Plus und NGINX Open wird bereits wenige Tage nach ihrer öffentlichen Offenlegung in der Praxis ausgenutzt. Die Lücke mit dem CVSS-Score von 9,2 ermöglicht es Angreifern, Worker-Prozesse zum Absturz zu bringen oder potenziell beliebigen Code auszuführen.
Die als CVE-2026-42945 registrierte Sicherheitslücke betrifft NGINX-Versionen von 0.6 bis 1.30.0 und wurde bereits vor Jahren, nämlich 2008, eingeführt. Es handelt sich um einen Heap-Buffer-Overflow im Modul ngx_http_rewrite_module. Unauthentifizierte Angreifer können durch speziell präparierte HTTP-Anfragen Worker-Prozesse zum Absturz bringen oder Remote-Code-Ausführung ermöglichen – allerdings nur, wenn auf dem Zielsystem die Speicherschutzmaßnahme ASLR (Address Space Layout Randomization) deaktiviert ist.\n\nLaut Sicherheitsforscher Kevin Beaumont setzt eine erfolgreiche Ausnutzung voraus, dass Angreifer die spezifische NGINX-Konfiguration kennen oder ermitteln können. Das AlmaLinux-Team betont, dass eine zuverlässige Code-Ausführung unter Standardbedingungen nicht einfach ist. Dennoch warnen die Maintainer: „Nicht einfach bedeutet nicht unmöglich” – auch der bloße Denial-of-Service-Angriff durch Worker-Crashes stelle ein dringendes Problem dar.\n\nDas Sicherheitsunternehmen VulnCheck hat bereits Hinweise auf aktive Ausnutzung der Lücke in seinen Honeypot-Netzwerken gefunden. Die genauen Details der Angriffe und deren Ziele bleiben bislang unklar.