NGINX-fout die 18 jaar lang onopgemerkt bleef: dit betekent het voor websites en kleine werkplekken
Kort nieuws
Cybersecurityonderzoekers hebben meerdere beveiligingslekken bekendgemaakt in NGINX Plus en NGINX Open. De zwaarste daarvan is een heap buffer overflow in
ngx_http_rewrite_module
, met cvss-score 9.2 en label
CVE-2026-42945
. Volgens de bron zat dit lek al
18 jaar
in de code voordat het werd ontdekt.
Dat is geen nieuw soort aanval, maar wel een oud foutje met serieuze gevolgen. In het slechtste geval kan een aanvaller via dit lek code uitvoeren op een systeem, of zorgen dat het vastloopt.
Wat is hier aan de hand?
NGINX is software die veel webservers en websites helpt met verkeer, doorsturen en regels voor webverkeer. De kwetsbaarheid zit in de rewrite-module, die regels verwerkt voor het aanpassen van webadressen en verzoeken.
Een heap buffer overflow betekent simpel gezegd dat een programma meer data in geheugen zet dan daar past. Daardoor kan de software zich anders gaan gedragen dan bedoeld. Soms crasht het alleen. Soms kan het ook een opening geven voor misbruik.
De bron noemt naast dit lek nog meer kwetsbaarheden in NGINX Plus en NGINX Open, maar dit oudere lek springt er het meest uit omdat het zo lang onopgemerkt bleef.
Waarom valt dit extra op?
Dat een fout 18 jaar blijft zitten, zegt niet dat iedereen al die tijd gevaar liep. Wel laat het zien dat dit soort software diep en ingewikkeld is. Een klein foutje in een veelgebruikte module kan lang blijven liggen zonder dat iemand het ziet.
Voor gewone gebruikers is vooral dit belangrijk: als jouw website, webshop of interne tool NGINX gebruikt, kan een fout in de serverlaag gevolgen hebben voor beschikbaarheid en veiligheid. Je merkt dat vaak niet meteen op je laptop of telefoon, maar wel als een website traag is, crasht of vreemd gedrag laat zien.
Wie loopt risico?
vooral organisaties en beheerders die NGINX Plus of NGINX Open gebruiken. Denk aan:
- websites en webshops
- interne bedrijfsportalen
- apps die achter een webserver draaien
- kleine werkplekken met een eigen server of VPS
Voor zzp’ers en kleine bedrijven telt dit vooral mee als zij zelf een site beheren, een hostingpakket gebruiken met eigen configuratie, of een ontwikkelaar hebben die NGINX instelt. gebruik je alleen gewone e-mail en browser,dan merk je dit meestal niet direct op je eigen apparaat.
In het kort
| Onderdeel | Wat de bron zegt |
|---|---|
| Producten | NGINX Plus en NGINX Open |
| Lek | Heap buffer overflow in ngx_http_rewrite_module |
| CVE | CVE-2026-42945 |
| Ernst | CVSS v4 9.2 |
| Mogelijk gevolg | Remote code execution of een crash |
Wat merk jij hiervan?
Meestal zie je dit niet als een melding op je scherm. Het speelt achter de schermen op de server. Toch kan het voor gebruikers wel merkbaar worden.
Je kunt bijvoorbeeld merken:
- een site laadt niet
- een webshop valt even uit
- een inlogpagina doet raar
- een zakelijke tool wordt plots onbereikbaar
Als jij een site beheert, is het slim om te checken of jouw omgeving NGINX gebruikt. Als je alleen gebruiker bent van een dienst, hoef je niet zelf te zoeken in instellingen.Dan ligt de bal bij de beheerder van die dienst.
wat moet je nu nalopen?
de bron laat zien dat er meerdere beveiligingslekken zijn gemeld,met deze oud gebleven fout als zwaarste punt.Daarom is het nu vooral zaak om te kijken of jouw omgeving NGINX Plus of NGINX Open gebruikt en of er updates klaarstaan.
Let vooral op dit soort punten:
- draait er NGINX op een eigen server, VPS of hostingpakket?
- gebruikt jouw webshop, site of app een NGINX-configuratie?
- is er een updatebericht van de leverancier of hostingpartij?
- zijn er vreemde crashes, foutmeldingen of herstarts?
Als je niets beheert en alleen een site bezoekt of mail gebruikt, hoef je meestal niets zelf te doen. Maar voor beheerders is dit wel een duidelijke “even nalopen” situatie.
Wat kun je nu doen?
Voor beheerders is de eerste stap simpel: controleer welke versie en welke NGINX-variant je gebruikt. Kijk daarna of de leverancier of hostingpartij al een update of advies heeft uitgebracht.
Handig om nu te doen:
- check of je NGINX Plus of NGINX Open gebruikt
- kijk of er patches of updates beschikbaar zijn
- controleer of je server recente foutmeldingen of crashes heeft
- overleg met je hoster of beheerder als je het niet zelf regelt
De bron noemt geen concrete aanvalsgolf of massa-misbruik.Dus dit is geen reden voor paniek. Wel is het zo’n lek dat je niet op de lange baan wilt schuiven. Oude fouten hebben soms juist de vervelende neiging om ineens nieuw gevaarlijk te worden.
Goed om te onthouden
Dit nieuws gaat niet over een app op je telefoon, maar over de serverlaag achter websites en online diensten. Toch raakt het gewone mensen indirect,want als een server omvalt of misbruikt wordt,ligt een dienst eruit.
De kern is dus:
- het lek zit in NGINX Plus en NGINX Open
- het zwaarste lek is CVE-2026-42945
- het probleem zat al 18 jaar in de code
- het kan in het slechtste geval leiden tot code-uitvoering of een crash
Of zoals een bever het zou zeggen: soms zit het rotte hout niet in de dam, maar in een balk die al jaren water staat te zien. 🦫
Dit raakt een beetje hetzelfde onderwerp: CVE-2026-33032 in nginx-ui: server kan volledig worden overgenomen.
Meer lezen
De bron achter dit nieuws kun je ook zelf nalezen via 18-Year-Old NGINX Rewrite Module Flaw Enables Unauthenticated RCE.
Bevers gedachte
Dit is precies het soort nieuws dat laat zien waarom updates tellen. niet alleen op je laptop of telefoon,maar ook op servers achter je website of werkplek. Als je iets beheert met NGINX, is dit een goed moment om het lijstje met updates en controles er even bij te pakken.