CVE-Forschung
sekurity-team
InSEKurity of the Week (CW20/2026): NGINX Rift -- 18 Jahre alter Heap-Overflow im Rewrite-Modul, unauthentifizierter DoS & moegliche RCE (CVE-2026-42945)
Ein Groessen-Mismatch im NGINX-Rewrite-Modul erlaubt einem entfernten, unauthentifizierten Angreifer einen Heap-Overflow mit einer einzigen praeparierten HTTP-Anfrage -- zuverlaessige Worker-Abstuerze fuer alle, moegliche RCE wenn ASLR aus ist. CVSS 4.0 9.2, oeffentlicher PoC, seit 2026-05-16 aktiv ausgenutzt, ca. 5,7 Mio. exponierte Server
Exploit
01