Schwere 0-Day-Lücke in NGINX — auch die gepatchte Version ist betroffen

Sicherheitsforscher von NebSec haben am 21. Mai 2026 eine kritische Zero-Day-Schwachstelle in NGINX 1.31.0 öffentlich bekannt gemacht — ausgerechnet jener Version, auf die viele Administratoren erst kürzlich gewechselt waren, um die vorherige Lücke nginx-rift zu schließen. Die neue Schwachstelle trägt den Namen nginx-poolslip und erlaubt es Angreifern, ohne vorherige Authentifizierung aus der Ferne beliebigen Code auf dem betroffenen Server auszuführen. Besonders brisant: Der Exploit umgeht ASLR, eine Kernsicherheitsfunktion moderner Betriebssysteme. Ein offizieller Patch von F5/NGINX existiert zum Zeitpunkt dieser Meldung noch nicht.

NGINX betreibt schätzungsweise 30–40 % aller Webserver weltweit, darunter Reverse Proxys, Load Balancer und API-Gateways. Wer betroffen ist, lässt sich einfach prüfen: nginx -v im Terminal zeigt die installierte Version. Läuft dort 1.31.0, ist das System potenziell verwundbar. Gleiches gilt für Systeme, auf denen NGINX als Container oder via Paketmanager betrieben wird — auch dort sollte die Version geprüft werden.

Empfehlung: Bis ein offizieller Patch vorliegt, sollten NGINX-Instanzen nicht unnötig öffentlich exponiert werden. Web Application Firewall-Regeln einschalten, ASLR systemweit aktivieren (/proc/sys/kernel/randomize_va_space auf 2 setzen) und die NGINX-Konfiguration auf rewrite-, if- und set-Direktiven prüfen. F5-Sicherheitsmeldungen abonnieren, um den Patch sofort einspielen zu können.

NebSec hält die vollständigen technischen Details noch zurück und will sie erst nach Verfügbarkeit eines offiziellen Patches veröffentlichen — ein verantwortungsvolles Vorgehen, das aber auch bedeutet, dass die Lage derzeit nicht vollständig einschätzbar ist. Wer kritische Infrastruktur auf NGINX betreibt, sollte die Lage ernst nehmen und kurzfristig Alternativen wie Cloudflare Pingora evaluieren. Originalartikel auf Cyber Security News

Related Posts

CVE-2026-21510 – Windows Shell umgeht SmartScreen-Schutz

Microsoft hat am 10. Februar 2026 einen Patch für eine aktiv ausgenutzte Sicherheitslücke in der Windows Shell veröffentlicht. Die Schwachstelle mit der Kennung CVE-2026-21510 erhält einen CVSS-Score von 8,8 (Hoch) und betrifft nahezu alle aktuellen Windows-Versionen – von Windows 10 bis Windows 11 sowie Windows Server 2012 bis 2025.

Read More

Axios-Schwachstelle CVE-2026-40175: Header-Injection als Einfallstor in Cloud-Infrastrukturen

Wer die JavaScript-Bibliothek Axios in Node.js-Anwendungen einsetzt, sollte diese Meldung aufmerksam lesen. In allen Versionen von 0.x bis 1.x vor den Patches 0.31.0 bzw. 1.15.0 fehlt eine grundlegende Prüfung: Header-Werte werden nicht auf CRLF-Zeichen (\r\n) geprüft, bevor sie an den Socket übergeben werden. Das klingt zunächst technisch und harmlos – hat aber weitreichende Konsequenzen.

Read More

Apache HTTP Server: HTTP/2-Lücke ermöglicht Remote Code Execution

In Apache HTTP Server 2.4.66 wurde eine Double-Free-Schwachstelle im HTTP/2-Stack entdeckt. Das bedeutet: Ein bereits freigegebener Speicherbereich wird ein zweites Mal freigegeben, was zu korruptem Heap-Speicher führt. Im schlimmsten Fall lässt sich darüber beliebiger Code auf dem Server ausführen – ein klassischer Remote-Code-Execution-Angriff. Der Auslöser ist ein früher Reset einer HTTP/2-Verbindung, ein Muster das Angreifer gezielt herbeiführen können. Mit CVSS 8.8 und dem technischen Impact „total" stuft auch die US-Behörde CISA die Lücke als ernstzunehmend ein, auch wenn bisher keine aktive Ausnutzung bekannt ist.

Read More