En kritisk sårbarhet i NGINX, döpt till "NGINX Rift" och spårad som CVE-2026-42945, utnyttjas aktivt av angripare. Det bekräftade säkerhetsforskare på VulnCheck den 17 maj 2026, bara dagar efter att F5 släppte en patch.

Vad är problemet?

Sårbarheten finns i NGINX:s URL-omskrivningsmodul (ngx_http_rewrite_module) och är en heap-baserad buffertöverskrivning. En angripare utan inloggning kan skicka ett specialutformat HTTP-anrop till en sårbar NGINX-server och på så sätt krascha serverprocessen eller i vissa konfigurationer köra godtycklig kod på distans.

Felet introducerades år 2008 och har alltså funnits i 18 år utan att upptäckas. Det påverkar:

• NGINX Open Source, version 0.6.27 till 1.30.0
• NGINX Plus, version R32 till R36
• F5-produkter som bygger på NGINX, bland annat NGINX Ingress Controller och F5 WAF for NGINX

CVSS-poängen är 8.1, vilket klassas som kritisk.

Varför är det allvarligt?

NGINX är världens mest använda webbserver och finns framför ungefär en tredjedel av alla webbplatser globalt. Den används också som lastbalanserare, omvänd proxy och HTTP-cache. Uppskattningsvis 5,7 miljoner servrar är exponerade.

Proof-of-concept-kod (PoC) publicerades redan den 18 maj, vilket gör det enkelt för angripare att utnyttja sårbarheten. Aktiv exploatering har bekräftats i det vilda.

Vad bör du göra?

F5 har släppt patchar. Uppdatera omedelbart till:

• NGINX Open Source 1.30.1 eller senare
• NGINX Plus R37 eller senare

Om du inte kan uppdatera direkt bör du kontrollera om din konfiguration innehåller rewrite-direktiv med namnlösa regex-fångster följt av ett frågetecken i ersättningssträngen. Den typen av konfiguration är det som triggar felet.

Har du NGINX i din infrastruktur och är osäker på om du är exponerad? Kontakta BlckIT för en genomgång av er servermiljö.