Sicherheitsforscher von NebSec haben am 21. Mai 2026 eine kritische Zero-Day-Schwachstelle in NGINX 1.31.0 öffentlich bekannt gemacht — ausgerechnet jener Version, auf die viele Administratoren erst kürzlich gewechselt waren, um die vorherige Lücke nginx-rift zu schließen. Die neue Schwachstelle trägt den Namen nginx-poolslip und erlaubt es Angreifern, ohne vorherige Authentifizierung aus der Ferne beliebigen Code auf dem betroffenen Server auszuführen. Besonders brisant: Der Exploit umgeht ASLR, eine Kernsicherheitsfunktion moderner Betriebssysteme. Ein offizieller Patch von F5/NGINX existiert zum Zeitpunkt dieser Meldung noch nicht.
NGINX betreibt schätzungsweise 30–40 % aller Webserver weltweit, darunter Reverse Proxys, Load Balancer und API-Gateways. Wer betroffen ist, lässt sich einfach prüfen: nginx -v im Terminal zeigt die installierte Version. Läuft dort 1.31.0, ist das System potenziell verwundbar. Gleiches gilt für Systeme, auf denen NGINX als Container oder via Paketmanager betrieben wird — auch dort sollte die Version geprüft werden.
Empfehlung: Bis ein offizieller Patch vorliegt, sollten NGINX-Instanzen nicht unnötig öffentlich exponiert werden. Web Application Firewall-Regeln einschalten, ASLR systemweit aktivieren (/proc/sys/kernel/randomize_va_space auf 2 setzen) und die NGINX-Konfiguration auf rewrite-, if– und set-Direktiven prüfen. F5-Sicherheitsmeldungen abonnieren, um den Patch sofort einspielen zu können.
NebSec hält die vollständigen technischen Details noch zurück und will sie erst nach Verfügbarkeit eines offiziellen Patches veröffentlichen — ein verantwortungsvolles Vorgehen, das aber auch bedeutet, dass die Lage derzeit nicht vollständig einschätzbar ist. Wer kritische Infrastruktur auf NGINX betreibt, sollte die Lage ernst nehmen und kurzfristig Alternativen wie Cloudflare Pingora evaluieren. Originalartikel auf Cyber Security News
