Die Schwachstelle steckt in der Art, wie die Script-Engine von NGINX arbeitet: Sie nutzt einen Prozess in zwei Durchläufen, um zunächst die Puffergröße zu berechnen und anschließend Daten dorthin zu kopieren. Zwischen beiden Durchläufen ändert sich der interne Zustand der Engine. Unter bestimmten Bedingungen wird ein Flag nicht weitergegeben, sodass von Angreifern eingeschleuste Daten über die Grenze des Heap-Puffers hinaus geschrieben werden.
Ausnutzen lässt sich der Fehler aus der Ferne und ohne Authentifizierung über präparierte HTTP-Anfragen. Voraussetzung ist allerdings eine bestimmte Rewrite-Konfiguration. Während sich der NGINX-Worker-Prozess mit einer einzigen manipulierten Anfrage recht einfach zum Absturz bringen lässt, ist das Erreichen einer Codeausführung deutlich schwieriger: In den meisten Installationen ist ASLR standardmäßig aktiviert.
VulnCheck-Forscher Patrick Garrity erklärte, man beobachte die aktive Ausnutzung von CVE-2026-42945 in F5 NGINX — einem Heap-Buffer-Overflow, der sowohl NGINX Plus als auch NGINX Open Source betreffe — nur wenige Tage nach der Veröffentlichung der CVE.
Zum Umfang potenziell verwundbarer Systeme verweist VulnCheck auf eine Censys-Abfrage, die rund 5,7 Millionen aus dem Internet erreichbare NGINX-Server mit einer möglicherweise anfälligen Version aufdeckt. Die tatsächlich ausnutzbare Zahl dürfte jedoch deutlich kleiner ausfallen.
Sicherheitsforscher mahnen zu raschem Handeln. Mit breiteren Ausnutzungsversuchen gegen verwundbare Installationen sei zu rechnen — vor allem, weil sich mit dem öffentlich verfügbaren Proof-of-Concept ASLR deaktivieren und so eine Remotecodeausführung erzielen lässt.
