VulnCheck meldet aktive Angriffe auf CVE-2026-42945, einen Heap Buffer Overflow im NGINX-Rewrite-Modul. Der Fehler steckt seit 2008 im Code und betrifft praktisch jeden WordPress-Hostingstack der Welt. Die Frist zum Patchen läuft an Stunden, nicht Tagen.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Die NGINX-Lücke CVE-2026-42945 trägt CVSS 9,2 und wird laut VulnCheck bereits in freier Wildbahn ausgenutzt. Betroffen sind NGINX-Versionen 0.6.27 bis 1.30.0, also nahezu der gesamte produktive Bestand auf der Welt. Wer WordPress hostet, Reverse-Proxy fährt oder einen Loadbalancer betreibt, sollte heute prüfen, welcher Stand läuft.
Das Wichtigste in Kürze
- CVE-2026-42945 im ngx_http_rewrite_module von NGINX, CVSS 9,2
- Heap Buffer Overflow erlaubt Remote Code Execution bei deaktiviertem ASLR
- Betroffene Versionen: 0.6.27 bis 1.30.0, Fehler liegt seit 2008 im Code
- Aktive Ausnutzung bereits dokumentiert, Patch ist verfügbar
Wie tief die Lücke sitzt
Der Bug steckt im Rewrite-Modul, das in fast jeder NGINX-Konfiguration aktiv ist. Speziell präparierte HTTP-Requests können Worker-Prozesse zum Absturz bringen, im schlechtesten Fall sogar fremden Code im Server-Kontext ausführen. Letzteres setzt voraus, dass auf dem System ASLR (Address Space Layout Randomization) abgeschaltet ist, was auf modernen Linux-Distributionen Standard nicht der Fall ist.
Wer allerdings ältere Server, gehärtete Embedded-Systeme oder spezielle Appliances betreibt, hat ASLR möglicherweise deaktiviert.
Die Ausnutzbarkeit wird durch öffentlich verfügbare Proof-of-Concept-Skripte weiter beschleunigt. Angreifer brauchen keine eigene Recherche, sie kopieren den Code und scannen das Internet. VulnCheck berichtet von ersten Treffern weniger als 24 Stunden nach Disclosure.
Wer in Deutschland betroffen ist
Praktisch jeder. Die Hoster IONOS, Hetzner, STRATO, all-inkl und Mittwald setzen NGINX als Standard-Webserver vor WordPress, Plesk und cPanel ein. Wer einen Managed-Hosting-Tarif fährt, sollte beim Anbieter nachfragen, ob die Lücke gepatcht ist. Wer einen Root-Server oder eine VPS-Instanz selbst administriert, ist selbst verantwortlich. Cloudflare hat seine Edge-Server inzwischen aktualisiert. Wer hinter einem Cloudflare-Proxy sitzt, profitiert davon, ist aber bei direktem Origin-Zugriff weiterhin verwundbar.
Eine 18 Jahre alte Lücke im NGINX-Rewrite-Modul trifft praktisch jeden WordPress-Server, der je gebaut wurde. Wer heute nicht patcht, wartet bis morgen, und morgen ist der Server schon übernommen.
— Markus Seyfferth, Chefredakteur Dr. Web
Was IT-Verantwortliche jetzt umsetzen
Die Reaktion ist klar gestaffelt. Zunächst ein `nginx -v` auf jedem Server, der Webtraffic terminiert. Liegt die Version bei 1.30.0 oder darunter, kommt sofort das Distributions-Update oder der Wechsel auf NGINX 1.30.1 beziehungsweise NGINX Plus R32. Anschließend Restart aller NGINX-Prozesse, weil ein Konfigurations-Reload den geladenen Code nicht austauscht.
Schließlich ein Blick in die Access- und Error-Logs der vergangenen Tage auf auffällige Rewrite-Patterns, ungewöhnlich lange URL-Parameter oder Crashes von Worker-Prozessen.
Für WordPress Agenturen, die Kunden-Hosting betreuen, lohnt ein Status-Report an alle Kunden noch heute Vormittag. Transparenz vor Vorfall ist im Schadenfall die bessere Position als Schweigen mit nachträglicher Aufklärung.
Mehr zur richtigen Hosting-Auswahl mit Sicherheits-Fokus lesen Sie im WordPress-Hosting-Vergleich, ergänzend zum Browser-Vergleich für den DACH-Raum.
Mehr Newshunger?
