Im Mittelpunkt der Meldung stehen zwei kritische Sicherheitslücken in NGINX Open Source. F5 zufolge können sie so ausgenutzt werden, dass auf betroffenen Systemen Code ausgeführt wird. Der Hersteller hat dafür Sicherheitsupdates veröffentlicht.
Der Quelltext nennt weder die Bezeichnungen noch die CVE-Nummern der beiden jetzt behobenen Schwachstellen. Ebenfalls offen bleibt dort, welche konkreten Versionen die Korrekturen erhalten haben. Festgehalten wird jedoch, dass F5 die betroffenen Versionen gepatcht hat.
Zusätzlich zu den Updates hat F5 nach eigener Darstellung Maßnahmen zur Risikominderung beschrieben. Welche Schritte das im Einzelnen sind, geht aus dem vorliegenden Text jedoch nicht hervor.
F5 erwähnt laut Quelltext nicht, dass diese beiden Schwachstellen derzeit aktiv ausgenutzt werden. Zugleich ordnet der Text den Vorgang in einen größeren Zusammenhang ein: Sicherheitslücken in F5-Produkten sind in der Vergangenheit wiederholt von böswilligen Akteuren ausgenutzt worden.
Wie aktuell diese Gefahr ist, zeigt ein weiterer Fall aus dem vergangenen Monat. Damals wurde eine andere kritische Schwachstelle in NGINX Plus und NGINX Open Source, CVE-2026-42945 mit einem CVSS-Wert von 9,2, nach ihrer öffentlichen Offenlegung innerhalb weniger Tage aktiv ausgenutzt. Die Lücke ist auch unter der Bezeichnung NGINX Rift bekannt.
Damit bleibt als gesicherter Stand: F5 hat zwei kritische Schwachstellen in NGINX Open Source behoben, die eine Codeausführung ermöglichen könnten, und verweist zugleich auf begleitende Gegenmaßnahmen. Eine bestätigte aktive Ausnutzung dieser beiden Lücken nennt der Hersteller im vorliegenden Text nicht.