Kritische NGINX-Lücke nach 18 Jahren entdeckt: Unauthentifizierte Codeausführung möglich

Die als NGINX Rift bezeichnete Schwachstelle steckt im Modul ngx_http_rewrite_module. Nach Angaben von F5 tritt der Fehler auf, wenn auf eine rewrite-Direktive eine weitere rewrite-, if- oder set-Direktive folgt und dabei eine unbenannte PCRE-Erfassung (Perl-Compatible Regular Expression, etwa $1 oder $2) mit einem Ersetzungsstring verwendet wird, der ein Fragezeichen enthält.

Laut der am Mittwoch veröffentlichten Mitteilung von F5 kann ein unauthentifizierter Angreifer die Lücke unter bestimmten, nicht von ihm kontrollierbaren Bedingungen durch präparierte HTTP-Anfragen ausnutzen. Dies könne einen Heap-Buffer-Overflow im NGINX-Worker-Prozess verursachen und diesen zum Neustart zwingen. Auf Systemen, bei denen Address Space Layout Randomization (ASLR) deaktiviert ist, sei zudem die Ausführung von Code möglich.

Der Entdecker depthfirst beschreibt in einer eigenen Veröffentlichung, dass ein entfernter, nicht angemeldeter Angreifer den Heap eines NGINX-Worker-Prozesses durch das Senden eines manipulierten URI beschädigen kann. Die Schwere ergebe sich daraus, dass die Lücke ohne Authentifizierung erreichbar ist, sich zuverlässig zum Auslösen des Heap-Overflows nutzen lässt und zur Codeausführung im Worker-Prozess führen kann.

„Ein Angreifer, der einen verwundbaren NGINX-Server über HTTP erreichen kann, kann mit einer einzigen Anfrage den Heap im Worker-Prozess überschreiben und Codeausführung erreichen", erklärte depthfirst. Es gebe keinen Authentifizierungsschritt, keine Voraussetzung für vorherigen Zugang und keine Notwendigkeit einer bestehenden Sitzung.

Die über die zugewiesene Speicherregion hinaus geschriebenen Bytes leiten sich laut depthfirst aus dem URI des Angreifers ab, sodass die Beschädigung gezielt vom Angreifer geformt wird und nicht zufällig ausfällt. Wiederholte Anfragen ließen sich außerdem nutzen, um Worker-Prozesse in einer Absturzschleife zu halten und so die Verfügbarkeit aller über die Instanz ausgelieferten Seiten zu beeinträchtigen.

Behoben wurde das Problem nach verantwortungsvoller Offenlegung am 21. April 2026 in aktualisierten Versionen von NGINX Plus und NGINX Open Source. Neben CVE-2026-42945 wurden dabei drei weitere Schwachstellen geschlossen.

Anwendern wird empfohlen, die jeweils neuesten Versionen einzuspielen. Ist ein sofortiges Patchen von CVE-2026-42945 nicht möglich, rät F5 dazu, die Rewrite-Konfiguration anzupassen und in jeder betroffenen rewrite-Direktive unbenannte Erfassungen durch benannte Erfassungen zu ersetzen.