Ausnutzung wahrscheinlich: Kritische Nginx-Lücke gefährdet unzählige Webserver
Erst vor wenigen Tagen hatten Forscher von Depthfirst eine Nginx Rift genannte Sicherheitslücke in der weit verbreiteten Webserver-Software Nginx aufgedeckt, mit der Angreifer anfällige Systeme temporär unerreichbar machen und manchmal sogar Schadcode zur Ausführung bringen können. Jetzt hat der Nginx-Entwickler F5 noch eine weitere Lücke gepatcht(öffnet im neuen Fenster), die weitgehend über die gleichen Eigenschaften verfügt.
Die neue Lücke ist als CVE-2026-9256(öffnet im neuen Fenster) registriert und erreicht mit einem CVSS-Wert von 9,2 einen kritischen Schweregrad. Ebenso wie bei Nginx Rift liegt die Ursache im Modul ngx_http_rewrite_module(öffnet im neuen Fenster). Abermals lässt sich die Lücke nur ausnutzen, wenn Rewrite-Anweisungen mit bestimmten Eigenschaften vorliegen.
Ist diese Bedingung erfüllt, so können Angreifer durch das bloße Senden speziell gestalteter HTTP-Requests einen Pufferüberlauf auslösen, welcher auf dem Zielsystem den Nginx-Worker-Prozess zum Absturz bringt. Ist auf dem System das Sicherheitsfeature ASLR(öffnet im neuen Fenster) deaktiviert, so kann auch Schadcode zur Ausführung gelangen. Dies ist jedoch eher selten der Fall, da ASLR auf den meisten Systemen standardmäßig aktiv ist.
Patches und Workaround verfügbar
Als anfällig gelten neben der Open-Source-Variante von Nginx auch Nginx Plus sowie andere auf der Webserver-Software basierende Produkte. Eine Auflistung aller betroffenen Produkte und Versionen ist im Advisory von F5(öffnet im neuen Fenster) zu finden.
Gepatcht wurde CVE-2026-9256 mit den am 22. Mai veröffentlichten(öffnet im neuen Fenster) Nginx-Versionen 1.31.1 und 1.30.2. F5 nennt im Advisory aber auch einen alternativen Workaround, der darauf basiert, die anfälligen Rewrite-Anweisungen umzuschreiben.
Hinweise auf eine aktive Ausnutzung der Sicherheitslücke scheint es bisher nicht zu geben. Nginx Rift wurde allerdings schon wenige Tage nach der Offenlegung ausgenutzt. Aufgrund der starken Ähnlichkeit ist auch bei CVE-2026-9256 damit zu rechnen, dass in Kürze erste Attacken beobachtet werden. Admins sollten daher zügig die verfügbaren Patches einspielen oder den von F5 beschriebenen Workaround anwenden.
CVE-2026-9256 wurde unter anderem von Sicherheitsforschern von Nebula Security gemeldet. Die hatten schon am 20. Mai auf X(öffnet im neuen Fenster) einen Hinweis auf den von ihrem KI-Agenten gemachten Fund geteilt und ein kurzes Demo-Video veröffentlicht. Die Forscher nennen ihre Entdeckung Nginx-Poolslip. Details halten sie aber aus Sicherheitsgründen noch unter Verschluss. Erst 30 Tage nach Bereitstellung des Patches soll ein ausführlicher Bericht veröffentlicht werden.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.