Alisina NawabiF5 heeft maandag buiten de reguliere patchcyclus om noodpatches uitgebracht voor twee kritieke kwetsbaarheden in NGINX, een van de meest gebruikte webservers ter wereld. Beide lekken hebben een CVSS-score van 9,2 en zijn zonder inloggegevens te misbruiken: een aanvaller hoeft alleen je server te kunnen bereiken. In het slechtste geval voert hij code uit op je machine, in het lichtere geval legt hij de server plat. Draai je zelf NGINX, dan is dit geen lek om volgende sprint mee te nemen, maar een om vandaag te patchen.
Wat er precies misgaat
Het eerste lek, CVE-2026-42530, zit in de HTTP/3-module van NGINX en is een use-after-free-fout in ngx_http_v3_module. Een aanvaller kan via geprepareerd QUIC-verkeer geheugen laten hergebruiken dat al was vrijgegeven. Het tweede lek, CVE-2026-42055, is een heap-gebaseerde bufferoverloop in de HTTP/2-proxy- en gRPC-modules (ngx_http_proxy_v2_module en ngx_http_grpc_module). Dat speelt op als je NGINX als proxy draait met proxy_http_version 2 of grpc_pass, en daarbij ignore_invalid_headers off staat en de headerbuffers groter dan 2 megabyte zijn.
Beide fouten kunnen leiden tot een denial-of-service, en wanneer geheugenbescherming als ASLR uitstaat of wordt omzeild, tot uitvoering van code op afstand. Naast deze twee dichtte F5 ook twee hoog-ernstige lekken in NGINX Gateway Fabric (CVE-2026-11311 en CVE-2026-50107), waarmee een ingelogde aanvaller eigen configuratiedirectieven kan injecteren.
Geen actief misbruik, maar dat verandert snel
Volgens BleepingComputer is er nog geen actief misbruik waargenomen, maar dat is een dunne geruststelling. Eerdere kritieke NGINX-fouten werden vaak binnen dagen na bekendmaking uitgebuit, en het feit dat F5 de patch buiten de gewone cyclus uitbracht zegt genoeg over de urgentie. F5 levert software aan meer dan 23.000 organisaties, waaronder een groot deel van de grootste bedrijven ter wereld, maar het echte risico zit bij de talloze kleinere partijen die NGINX zelf draaien zonder een securityteam dat zulke meldingen 24/7 volgt.
Dat patroon herhaalt zich de laatste weken griezelig vaak in zelfgehoste software. Zo werd de kritieke Langflow-kwetsbaarheid kort na bekendmaking al actief misbruikt om servers over te nemen, en gaven drie lekken in AI-gateway LiteLLM gewone gebruikers ineens admin-rechten en code-uitvoering. De rode draad: zelf hosten geeft je controle, maar legt het onderhoud ook volledig bij jou neer.
Wat je nu moet doen
Upgrade naar een gepatchte versie. CVE-2026-42530 is verholpen in NGINX Open Source 1.31.2 en NGINX Gateway Fabric 2.6.4; CVE-2026-42055 in NGINX Open Source 1.30.3 en 1.31.2 en in NGINX Plus 37.0.2.1 en R36 P6. Kun je niet meteen updaten, dan zijn er tijdelijke noodremmen: voor het HTTP/3-lek verwijder je quic uit al je listen-directieven om HTTP/3 uit te zetten, voor het proxy-lek haal je ignore_invalid_headers off weg of zet je de headerbuffers onder de 2 megabyte. Dat zijn pleisters, geen oplossing: plan de echte upgrade zo snel mogelijk.
Belangrijker dan deze ene patch is de gewoonte erachter. Zelfgehoste software vraagt om een vast ritme: weten welke versies je draait, securitymeldingen van je componenten volgen, en kunnen patchen zonder dat je hele dienst eraan onderdoor gaat. Wie dat ritme op orde heeft, vangt het volgende kritieke lek met een schouderophaal op in plaats van met een paniekavond. Een zelfgehoste dienst stap voor stap van standaardinstellingen naar een productie-veilige configuratie brengen is precies het werk dat dit soort meldingen beheersbaar maakt.
