Een kritiek beveiligingslek in NGINX wordt actief misbruikt bij aanvallen. Beheerders worden opgeroepen om de beschikbaar gestelde update voor CVE-2026-42945 te installeren. NGINX is een webserver, reverse proxy, content cache, load balancer, proxyserver en mail-proxyserver. Het draait wereldwijd op tientallen miljoenen servers. CVE-2026-42945 betreft een kwetsbaarheid in de ngx_http_rewrite_module van NGINX.

Door het versturen van een speciaal geprepareerd HTTP request kan een ongeauthenticeerde aanvaller een heap buffer overflow veroorzaken. Dit kan leiden tot een denial of service. In het geval Address Space Layout Randomization (ASLR) op de server staat uitgeschakeld, kan een aanvaller ook willekeurige code op de server uitvoeren, aldus NGINX-eigenaar F5. Volgens het Nationaal Cyber Security Centrum (NCSC) is het niet gebruikelijk dat ASLR staat uitgeschakeld. "Wel is het mogelijk dat bij bepaalde lichtgewicht distributies ASLR is uitgeschakeld bij installatie in verband met performance-issues. Dit soort lichtgewicht distro's is vooral populair op low end platforms als Raspberry PI."

De kwetsbaarheid, die de naam NGINX Rift kreeg, werd op 13 mei openbaar gemaakt. Dezelfde dag verschenen er ook beveiligingsupdates. Proof-of-concept exploitcode is inmiddels ook online verschenen. Securitybedrijf VulnCheck meldt dat aanvallers inmiddels actief misbruik van het probleem maken. Ook NGINX is met misbruik bekend, aldus het NCSC. Onderzoeker Patrick Garrity van VulnCheck stelt dat servers alleen bij een bepaalde rewrite configuratie risico lopen. Op basis van een online scan vermoedt de onderzoeker dat er wereldwijd 5,7 miljoen online toegankelijke NGINX-servers een mogelijk kwetsbare versie draaien.