### NGINX Rift: Ein tiefer Einblick in CVE-2026-42945 Die von **depthfirst** entdeckte Schwachstelle liegt im Modul `ngx_http_rewrite_module`. Laut **F5** besteht die Schwachstelle, wenn die `rewrite`-Direktive von einer `rewrite`-, `if`- oder `set`-Direktive gefolgt wird und ein unbenannter PCRE-Capture (z. B. $1, $2) mit einer Ersetzungszeichenkette, die ein Fragezeichen (?) enthält. Ein nicht authentifizierter Angreifer kann unter bestimmten Bedingungen diese Lücke ausnutzen, indem er präparierte HTTP-Anfragen sendet. Dies kann zu einem Heap-Buffer-Overflow im NGINX-Worker-Prozess führen, was potenziell einen Neustart oder, wenn ASLR deaktiviert ist, Remote Code Execution zur Folge hat. ### Betroffene Versionen und Patch-Informationen Das Problem wurde in den folgenden Versionen nach verantwortungsvoller Offenlegung am 21. April 2026 behoben: * NGINX Plus R32 - R36 (Korrekturen eingeführt in R32 P6 und R36 P4) * NGINX Open Source 1.0.0 - 1.30.0 (Korrekturen eingeführt in 1.30.1 und 1.31.0) * NGINX Open Source 0.6.27 - 0.9.7 (Keine Korrekturen geplant) * NGINX Instance Manager 2.16.0 - 2.21.1 * F5 WAF für NGINX 5.9.0 - 5.12.1 * NGINX App Protect WAF 4.9.0 - 4.16.0 * NGINX App Protect WAF 5.1.0 - 5.8.0 * F5 DoS für NGINX 4.8.0 * NGINX App Protect DoS 4.3.0 - 4.7.0 * NGINX Gateway Fabric 1.3.0 - 1.6.2 * NGINX Gateway Fabric 2.0.0 - 2.5.1 * NGINX Ingress Controller 3.5.0 - 3.7.2 * NGINX Ingress Controller 4.0.0 - 4.0.1 * NGINX Ingress Controller 5.0.0 - 5.4.1 ### Ausnutzbarkeit und Auswirkungen Der Advisory von Depthfirst hebt die Schwere der Schwachstelle hervor und stellt fest, dass sie einem entfernten, nicht authentifizierten Angreifer ermöglicht, den Heap eines NGINX-Worker-Prozesses durch Senden einer präparierten URI zu korrumpieren. Die einfache Ausnutzbarkeit, gepaart mit dem Potenzial für Remote Code Execution, macht dies zu einem kritischen Problem. "Ein Angreifer, der einen anfälligen NGINX-Server über HTTP erreichen kann, kann eine einzige Anfrage senden, die den Heap im Worker-Prozess überläuft und Remote Code Execution erreicht", erklärte depthfirst. "Es gibt keinen Authentifizierungsschritt, keine vorherige Zugangsanforderung und keine Notwendigkeit für eine bestehende Sitzung." Wiederholte Anfragen können auch verwendet werden, um eine Absturzschleife zu erzeugen, was die Verfügbarkeit von Websites, die von der betroffenen Instanz bedient werden, erheblich beeinträchtigt. ### Zusätzliche behobene Schwachstellen Zusätzlich zu **CVE-2026-42945** beheben die neuesten NGINX-Releases auch die folgenden Schwachstellen: * **CVE-2026-42946** (CVSS v4 Score: 8.3): Eine Schwachstelle bei übermäßiger Speicherzuweisung in den Modulen `ngx_http_scgi_module` und `ngx_http_uwsgi_module`, die es einem entfernten Angreifer mit Adversary-in-the-Middle (AitM)-Fähigkeiten potenziell ermöglichen könnte, den Speicher des NGINX-Worker-Prozesses zu lesen oder einen Neustart auszulösen. * **CVE-2026-40701** (CVSS v4 Score: 6.3): Eine Use-after-free-Schwachstelle im Modul `ngx_http_ssl_module`, die einem entfernten Angreifer begrenzte Kontrolle über Datenmodifikationen oder die Möglichkeit geben könnte, den NGINX-Worker-Prozess neu zu starten. * **CVE-2026-42934** (CVSS v4 Score: 6.3): Eine Out-of-Bounds-Read-Schwachstelle im Modul `ngx_http_charset_module`, die es einem entfernten Angreifer potenziell ermöglichen könnte, Speicherinhalte preiszugeben oder den NGINX-Worker-Prozess neu zu starten. ### Abhilfemaßnahmen und Empfehlungen Benutzern wird dringend empfohlen, die neuesten NGINX-Versionen zu installieren, um optimalen Schutz zu gewährleisten. Wenn eine sofortige Behebung für **CVE-2026-42945** nicht möglich ist, besteht eine vorübergehende Abhilfemaßnahme darin, die Rewrite-Konfiguration zu ändern, indem unbenannte Captures durch benannte Captures in jeder betroffenen Rewrite-Direktive ersetzt werden.