NGINX-lek CVE-2026-42945 is al echt misbruikt, en dat is snel gegaan
Een nieuw beveiligingslek in NGINX Plus en NGINX Open wordt al actief misbruikt in het wild, nog maar dagen na de openbare melding. Het gaat om CVE-2026-42945, een heap buffer overflow in
ngx_http_rewrite_module
, met een CVSS-score van 9.2. Dat is een serieuze fout, vooral omdat het om software gaat die op veel servers en websites draait.
Volgens VulnCheck is het lek kort na publicatie al benut door aanvallers. Dat maakt dit geen theoretisch probleem meer. Het is dus niet alleen iets voor securityteams om op later te zetten; het speelt nu.
In de bron staat dat het lek zit in NGINX-versies 0.6.27 tot en met 1.30.0. Ook NGINX Plus wordt geraakt. Een heap buffer overflow betekent simpel gezegd dat software meer data in een stuk geheugen zet dan daar veilig in past. Daardoor kan het vastlopen of misbruikt worden.
Wat betekent dit in gewone taal?
NGINX zit vaak “achter” een website of webapp. Het regelt verkeer tussen bezoekers en de server. Als daar een groot lek in zit,kan een aanvaller via webverkeer proberen de server te laten crashen of erger.
Voor gewone gebruikers merk je dit niet direct op je laptop of telefoon zoals een app die ineens raar doet. Het zit vooral aan de serverkant. maar als een website, webshop, portal of werkplek-app op NGINX draait, kan die wel uitvallen of onveilig worden. Dan zie je bijvoorbeeld een trage site, een foutmelding of een dienst die even niet bereikbaar is.
Waarom is dit belangrijk?
Omdat het lek al actief wordt misbruikt. Dat is het punt waar een kwetsbaarheid van “handig om te patchen” naar “echt haastwerk” gaat.Aanvallers wachten dan niet meer af.
Dit soort lekken is extra vervelend voor kleine bedrijven en zzp’ers die een webserver, dashboard, ticketomgeving of klantportaal zelf hosten of via een partij laten draaien. je hoeft NGINX niet zelf te kennen om er last van te hebben. Als jouw dienst erop leunt, telt dit mee.
Wat maakt de bronmelding scherp?
- Het lek is openbaar gemaakt.
- Het wordt volgens VulnCheck al in het wild misbruikt.
- Het gaat om een hoge score: CVSS 9.2.
- De fout zit in een module die met webverkeer te maken heeft.
Wie loopt risico?
Vooral organisaties en beheerders die NGINX Open of NGINX Plus draaien. Ook kleine hostingomgevingen, webshops en interne bedrijfstoepassingen kunnen geraakt zijn als ze deze software gebruiken.
| Wie | Risico |
|---|---|
| Serverbeheerders | Directe patchvraag |
| Kleine bedrijven met eigen webapp | Diensten kunnen geraakt worden |
| webshops en portalen | Mogelijke uitval of misbruik |
| Gewone eindgebruikers | Meestal geen directe infectie, wel problemen met websites/diensten |
Het probleem zit dus niet in de browser van de bezoeker, maar in de server die de website of app draait.Toch kun je als gebruiker wel merken dat een dienst ineens vreemd gaat doen of tijdelijk offline is.
Wat merk jij hiervan?
Als je zelf een website, webshop of klantomgeving beheert, wil je de situatie nu nameten. Merk je als gewone gebruiker dat een site traag is of foutmeldingen geeft, dan kan dat een gevolg zijn van een beveiligingsprobleem of een herstelactie.
Voor kleine teams is dit vooral een werkdag-onderbreker. Denk aan:
- een login die niet goed werkt;
- een pagina die niet laadt;
- tijdelijk dichtgezette functies;
- extra controles of afdichtingen door de beheerder.
Dat is natuurlijk niet leuk, maar wel beter dan wachten tot iemand anders je server uitprobeert.
Wat moet je nu nalopen?
Als je NGINX beheert, kijk dan meteen of je versie onder het genoemde bereik valt. De bron noemt NGINX Open 0.6.27 t/m 1.30.0 en ook NGINX plus.Als je leverancier of hostingpartij jouw omgeving beheert,vraag dan of de update al staat ingepland of al is doorgevoerd.
Ook handig:
- check of je NGINX gebruikt op een publieke server;
- kijk of er logs of meldingen zijn van vreemd webverkeer;
- volg de updates van je leverancier of hostingpartij;
- zet een snelle patch of work-around hoger op de lijst dan normaal.
Voor meer technische details of officiële updates kun je terecht bij de NGINX-documentatie of release-informatie, als die door je leverancier wordt genoemd. Als je niet zelf beheert, is je contactpersoon of hostingpartij hier nu het belangrijkste adres.
Kleine samenvatting
Dit is geen “later eens kijken”-lek. CVE-2026-42945 is openbaar, zwaar genoeg ingeschaald en al in het wild misbruikt. Dat betekent dat wie NGINX runt, nu echt moet controleren of er een update of maatregel klaarstaat.
Voor gewone gebruikers is de directe impact meestal beperkt tot websites en online diensten die even onbetrouwbaar worden. Voor beheerders is het vooral een patchklus die niet mag blijven liggen. Een bever houdt ook niet van lekke dammen – en servers nog minder.
Als je dit nieuws volgt, is CVE-2026-33032 in nginx-ui: server kan volledig worden overgenomen ook nog wel interessant.
Bevers gedachte
als een lek al binnen dagen na publicatie misbruikt wordt,is snelheid belangrijker dan perfectie. Niet panikeren, wel meteen nalopen. Dat scheelt gedoe, en meestal ook een hoop natte voeten.