Kritische Sicherheitslücken in nginx: Sofortiger Patch erforderlich

Im Webserver nginx wurden drei Sicherheitslücken entdeckt, darunter zwei kritische Schwachstellen, die es Angreifern ermöglichen, beliebigen Programmcode aus der Ferne auszuführen. Betroffen sind nginx-Installationen auf Linux- und Windows-Systemen.

Risikobewertung: Die Risikostufe wird als hoch eingestuft. Die beiden Remote-Code-Execution-Schwachstellen (CVE-2026-42055, CVE-2026-42530) erhalten einen CVSS-Score von 8.1. Besonders besorgniserregend: Ein Angriff ist über das Netzwerk möglich, ohne dass der Angreifer sich zuvor authentifizieren muss. Für Unternehmen, die nginx als öffentlich erreichbaren Webserver betreiben, besteht damit ein reales Angriffsrisiko.

Was ist zu tun?

  • nginx umgehend auf Version 1.30.3 (Stable-Branch) oder 1.31.2 (Mainline-Branch) aktualisieren – Patches stehen bereit.
  • Bis zur Aktualisierung den Zugriff auf nginx-Instanzen über eine Web Application Firewall (WAF) oder einen vorgelagerten Reverse-Proxy einschränken.
  • Access-Logs auf ungewöhnliche Anfragen und Anomalien überwachen.
  • Das Update sollte innerhalb von 7 Tagen eingespielt sein.

nginx ist einer der weltweit meistgenutzten Webserver und häufig direkt im Internet exponiert. Gerade in kleinen und mittelständischen Unternehmen wird er oft ohne zusätzliche Schutzschichten betrieben, was das Risiko erhöht. Die dritte Schwachstelle (CVE-2026-48142) ist ebenfalls Teil des Patches und sollte nicht gesondert bewertet werden – ein vollständiges Update adressiert alle drei Lücken gleichzeitig.

Quelle: DFN-CERT Advisory 2026-2724 · Risikostufe: HOCH · Generiert am 18.06.2026

Tags :

Related Posts

Linux-Kernel: Kritische RCE-Lücken erfordern sofortiges Patchen

Im Linux-Kernel wurden mehrere Sicherheitslücken bekannt, darunter zwei kritische Schwachstellen mit CVSS-Score 9.8, die eine Remotecodeausführung ohne Authentifizierung ermöglichen. Betroffen sind Linux-basierte Server- und Netzwerksysteme, insbesondere unter Debian 12/13 sowie Ubuntu 22.04 und 24.04.

Read More

OpenSSH-Schwachstellen: Privilegieneskalation auf Linux-Systemen möglich

In OpenBSD OpenSSH wurden mehrere Sicherheitslücken bekannt, die unter bestimmten Bedingungen eine Eskalation von Benutzerrechten ermöglichen. Betroffen sind Linux-basierte Systeme, insbesondere Server mit älteren SUSE-Linux-Versionen (SLES 12 SP5).

Read More

Ruby-Schwachstelle ermöglicht Remote-Code-Execution auf Linux-Systemen

In der Programmiersprache Ruby wurde eine Sicherheitslücke (CVE-2026-41316) entdeckt, die es Angreifern unter bestimmten Bedingungen ermöglicht, beliebigen Programmcode aus der Ferne auszuführen. Betroffen sind Linux-Systeme, auf denen Ruby eingesetzt wird.

Read More