**NGINX**- und **NGINX Plus**-Benutzer werden dringend aufgefordert, die neuesten Patches anzuwenden, nachdem Berichte über die aktive Ausnutzung von **CVE-2026-42945**, einem Heap-Buffer-Overflow im `ngx_http_rewrite_module`, vorliegen. Diese Schwachstelle betrifft NGINX-Versionen 0.6.27 bis 1.30.0 und wurde Berichten zufolge im Jahr 2008 eingeführt. ### Details zur NGINX-Schwachstelle Die Schwachstelle mit einem CVSS-Score von 9,2 könnte es einem nicht authentifizierten Angreifer ermöglichen, Worker-Prozesse zum Absturz zu bringen oder potenziell Remote-Code auszuführen, indem er speziell präparierte HTTP-Anfragen sendet. Die erfolgreiche Remote-Code-Ausführung (RCE) hängt jedoch davon ab, ob Address Space Layout Randomization (ASLR) auf dem Zielsystem deaktiviert ist. Der Sicherheitsforscher Kevin Beaumont wies darauf hin, dass die Ausnutzung eine spezifische NGINX-Konfiguration und Kenntnisse des Angreifers über diese Konfiguration erfordert. AlmaLinux-Maintainer stimmten dem zu und erklärten, dass zwar eine zuverlässige Code-Ausführung in Standardkonfigurationen mit aktiviertem ASLR möglicherweise nicht trivial ist, das Risiko eines Denial-of-Service (DoS) durch Worker-Abstürze jedoch signifikant genug ist, um sofortige Aufmerksamkeit zu erfordern. **VulnCheck** hat aktive Ausnutzungsversuche gegen seine Honeypot-Netzwerke bestätigt, obwohl die genaue Art und die Ziele dieser Angriffe unklar bleiben. Benutzern wird dringend empfohlen, die neuesten Korrekturen von **F5** anzuwenden, um potenzielle Bedrohungen zu mindern. ### openDCIM-Schwachstellen werden aktiv angegriffen In einer parallelen Entwicklung berichtete **VulnCheck** auch über die aktive Ausnutzung von zwei kritischen Schwachstellen in **openDCIM**, einer Open-Source-Anwendung zur Verwaltung von Rechenzentrumsinfrastrukturen. Beide Fehler weisen einen CVSS-Score von 9,3 auf: * **CVE-2026-28515**: Eine fehlende Autorisierungs-Schwachstelle, die es authentifizierten Benutzern ermöglichen könnte, auf die LDAP-Konfigurationsfunktionalität zuzugreifen, unabhängig von den zugewiesenen Berechtigungen. In Docker-Bereitstellungen ohne Erzwingung der Authentifizierung könnte dies zu einer unbefugten Änderung der Anwendungskonfigurationen führen. * **CVE-2026-28517**: Eine Betriebssystem-Befehlsinjektions-Schwachstelle in der Komponente `report_network_map.php`. Sie verarbeitet den "dot"-Parameter ohne ordnungsgemäße Bereinigung und übergibt ihn direkt an einen Shell-Befehl, was potenziell die Ausführung von beliebigem Code ermöglicht. Diese Schwachstellen wurden zusammen mit **CVE-2026-28516**, einer SQL-Injection-Schwachstelle in **openDCIM**, vom **VulnCheck**-Sicherheitsforscher Valentin Lobstein entdeckt. Lobstein demonstrierte, dass diese drei Fehler verkettet werden können, um durch fünf HTTP-Anfragen eine Remote-Code-Ausführung zu erreichen und letztendlich eine Reverse Shell zu starten. Caitlin Condon, Vizepräsidentin für Sicherheitsforschung bei **VulnCheck**, erklärte, dass die beobachtete Angreiferaktivität von einer einzigen chinesischen IP-Adresse ausgeht und eine angepasste Implementierung des KI-Schwachstellen-Entdeckungstools Vulnhuntr zu nutzen scheint, um anfällige Installationen zu identifizieren, bevor eine PHP-Web-Shell bereitgestellt wird.