Kritische Schwachstelle in NGINX ermöglicht Remote-Code-Execution-Angriffe – Proof-of-Concept veröffentlicht

Der Fehler wurde erstmals in Version 0.6.27 eingeführt, die im Jahr 2008 veröffentlicht wurde, und blieb über alle Versionen bis einschließlich 1.30.0 über einen Zeitraum von 18 Jahren unbemerkt. 18 Jahre alte RCE-Schwachstelle in NGINX Der Fehler wird ausgelöst, wenn eine Konfiguration sowohl Rewrite- als auch Set-Direktiven gemeinsam verwendet, was ein häufiges Muster in API-Gateway-Einrichtungen darstellt.

Der interne Skript-Engine über ein Zweischritt-System: Im ersten Schritt wird die Speichergöße berechnet, im zweiten Schritt werden die Daten in den zugewiesenen Puffer geschrieben. Der kritische Fehler liegt in einem Zustandsinkonsistenz zwischen den beiden Durchgängen. Wenn eine Rewrite-Anweisung ein Fragezeichen (?) enthält, wird im Haupt-Skript-Engine dauerhaft die Flagge is_args = 1 gesetzt.

Während jedoch im ersten Durchgang (zur Längenberechnung) ein auf Null gesetzter Sub-Engine verwendet wird, ist is_args effektiv auf Null. Die Länge wird dabei ohne Berücksichtigung der URI-Escape-Sequenzen berechnet. NGINX wurde durch vier Speicherfehler angegriffen (Quelle: depthfirst).

Im zweiten Durchgang (Kopierphase) läuft der

Im zweiten Durchgang (Kopierphase) läuft der Haupt-Engine mit is_args = 1, wodurch die ngx_escape_uri-Funktion jedes escapierbare Byte von 1 auf 3 Bytes aufbläht. Das Ergebnis: Es werden deutlich mehr Daten in den Puffer geschrieben, als dort Platz vorgesehen war, was zu einem klassischen Heap-Buffer-Overflow führt. Forscher entwickelten einen funktionierenden RCE-Exploit für Systeme mit deaktiviertem ASLR.

Das Sicherheitsforschungsinstitut depthfirst entdeckte die Schwachstelle autonom während einer Code-Überprüfung im April 2026, bei der zudem drei weitere Speicher-Korruptionsfehler identifiziert wurden. Die Angriffsreihen kombinieren Heap-Manipulation, das Sprühen über POST-Body-Daten und die deterministische Multi-Prozess-Architektur, um eine zuverlässige und wiederholbare Codeausführung zu ermöglichen.

Ein öffentliches Proof-of-Concept (PoC) ist nun auf GitHub verfügbar. Neben dem kritischen Schwachstellen wurden drei weitere CVEs bestätigt. Die Schwachstelle betrifft eine breite Palette von F5/NGINX-Produkten, darunter NGINX Open Source Versionen 0.6.27 bis 1.30.0, NGINX Plus Versionen R32 bis R36, NGINX Instance Manager, NGINX App Protect WAF, NGINX Gateway Fabric und NGINX Ingress Controller.

F5 veröffentlichte sein offizielles Sicherheitswarnung am 13. Mai 2026. Administratoren sollten umgehend auf NGINX 1.30.1 oder 1.31.0 aktualisieren. Organisationen, die sich nicht sofort patchen können, sollten ihre Konfigurationen auf die kombinierte Verwendung der Direktiven `rewrite` und `set` prüfen und exponierte NGINX-Deployments bis zur vollständigen Patchung hinter einer zusätzlichen WAF-Schicht einschränken.