Ausnutzung wahrscheinlich: Kritische Nginx-Lücke gefährdet unzählige Webserver

Summary

Ausnutzung wahrscheinlich: Kritische Nginx-Lücke gefährdet unzählige Webserver Ein KI-Agent hat eine kritische Sicherheitslücke in Nginx entdeckt. Durch speziell gestaltete HTTP-Requests kann Schadcode zur Ausführung gelangen. 27. Mai 2026 um 09:10 Uhr / Marc Stöckel Nginx-Webserver lassen sich durch spezielle Datenpakete kompromittieren. Bild: pexels.com / Brett Sayles Erst vor wenigen Tagen hatten Forscher von Depthfirst eine Nginx Rift genannte Sicherheitslücke in der weit verbreiteten Webserver-Software Nginx aufgedeckt, mit der Angreifer anfällige Systeme temporär unerreichbar machen und manchmal sogar Schadcode zur Ausführung bringen können. Jetzt hat der Nginx-Entwickler F5 noch eine weitere Lücke gepatcht(öffnet im neuen Fenster), die weitgehend über die gleichen Eigenschaften verfügt. Die neue Lücke ist als CVE-2026-9256(öffnet im neuen Fenster) registriert und erreicht mit einem CVSS-Wert von 9,2 einen kritischen Schweregrad. Ebenso wie bei Nginx Rift liegt die Ursache im Modul ngx_http_rewrite_module(öffnet im neuen Fenster). Abermals lässt sich die Lücke nur ausnutzen, wenn Rewrite-Anweisungen mit bestimmten Eigenschaften vorliegen.Ist diese Bedingung erfüllt, so können Angreifer durch das bloße Senden speziell gestalteter HTTP-Requests einen Pufferüberlauf auslösen, welcher auf dem Zielsystem den Nginx-Worker-Prozess zum Absturz bringt. Ist auf dem System das Sicherheitsfeature ASLR(öffnet im neuen Fenster) deaktiviert, so kann auch Schadcode zur Ausführung gelangen. Dies ist jedoch eher selten der Fall, da ASLR auf den meisten Systemen standardmäßig aktiv ist.Patches und Workaround verfügbarAls anfällig gelten neben der Open-Source-Variante von Nginx auch Nginx Plus sowie andere auf der Webserver-Software basierende Produkte. Eine Auflistung aller betroffenen Produkte und Versionen ist im Advisory von F5(öffnet im neuen Fenster) zu finden. Gepatcht wurde CVE-2026-9256 mit den am 22. Mai veröffentlichten(öffnet im neuen Fenster) Nginx-Versionen 1.31.1 u...