Onderzoekers hebben meerdere beveiligingslekken in NGINX Plus en NGINX Open Source bekendgemaakt, waaronder een kritieke kwetsbaarheid die 18 jaar onopgemerkt bleef. Deze kwetsbaarheid, ontdekt door depthfirst, betreft een heap buffer overflow in de ngx_http_rewrite_module (CVE-2026-42945, CVSS v4 score: 9.2) die een aanvaller in staat kan stellen om op afstand code uit te voeren zonder authenticatie, of een denial-of-service (DoS) te veroorzaken met speciaal vervaardigde verzoeken. De kwetsbaarheid is door de onderzoekers de codenaam NGINX Rift gegeven.

Volgens een advisory van F5 doet het lek zich voor wanneer de rewrite-directive gevolgd wordt door een rewrite-, if- of set-directive en een niet-naamgegeven Perl-Compatible Regular PCRE) capture (zoals $1, $2) met een vervangingsstring die een vraagteken bevat. Een aanvaller kan deze kwetsbaarheid misbruiken door speciaal opgezette HTTP-verzoeken te sturen, wat kan leiden tot een heap buffer overflow in het NGINX workerproces en een herstart van de server. Op systemen zonder Address Space Layout Randomization (ASLR) kan dit zelfs leiden tot remote code execution.

De kwetsbaarheid is na verantwoordelijke melding op 21 april 2026 verholpen in diverse versies, waaronder NGINX Plus R32 tot R36 en NGINX Open Source vanaf versie 1.30.1. Voor oudere versies van NGINX Open Source tussen 0.6.27 en 0.9.7 zijn geen fixes gepland. Ook andere NGINX-componenten zoals NGINX Instance Manager, F5 WAF voor NGINX en NGINX Ingress Controller zijn bijgewerkt.

In een eigen advisory benadrukt depthfirst dat een aanvaller zonder authenticatie en zonder bestaande sessie een speciaal URI kan sturen die de heap van het NGINX workerproces corrumpeert. Dit maakt de kwetsbaarheid ernstig, omdat het betrouwbaar kan worden misbruikt voor remote code execution. Daarnaast kunnen herhaalde verzoeken ervoor zorgen dat de worker in een crashloop terechtkomt, wat de beschikbaarheid van alle sites op de server kan beïnvloeden.

Naast deze kritieke kwetsbaarheid zijn ook drie andere lekken in NGINX Plus en Open Source gepatcht. Dit betreft onder meer een geheugenallocatiefout in de ngx_http_scgi_module en ngx_http_uwsgi_module (CVE-2026-42946, meer info), een use-after-free in de ngx_http_ssl_module (CVE-2026-40701, details) en een out-of-bounds read in de ngx_http_charset_module (CVE-2026-42934, uitleg), die elk kunnen leiden tot geheugenlekken, herstarts of beperkte controle over data.