🛡️ CVE Digest
Security- en CVE-samenvattingen, gefilterd op mijn stack

nginx-kwetsbaarheden mei–juli 2026: proxy, rewrite, charset, QUIC, njs en meer

16 May 2026 · bron: Microsoft Security Update Guide (MSRC) / NGINX · Hoog — meerdere module-kwetsbaarheden, waaronder RCE-classificatie

nginx serveert deze site én proxyt Miniflux — dus deze cluster is direct relevant. Tussen mei en juli 2026 verscheen een reeks kwetsbaarheden in verschillende nginx-modules.

De CVE’s (per module)

  • CVE-2026-42055 — ngx_http_proxy_v2_module / ngx_http_grpc_module (juli).
  • CVE-2026-48142 / CVE-2026-42934 — ngx_http_charset_module.
  • CVE-2026-9256 / CVE-2026-42945 — ngx_http_rewrite_module.
  • CVE-2026-42946 — ngx_http_scgi_module / ngx_http_uwsgi_module.
  • CVE-2026-40701 — ngx_http_ssl_module.
  • CVE-2026-40460 — ngx_quic_module (HTTP/3).
  • CVE-2026-8711 — NGINX JavaScript (njs).

Een deel is door externe bronnen als “Multiple Vulnerabilities … Could Allow for Remote Code Execution” geclassificeerd.

Waarom dit relevant is voor deze stack

Onze nginx gebruikt: de proxy-module (/miniflux/), de SSL-module (TLS), en rewrite/return (de HTTP→HTTPS-redirect). De QUIC-, grpc-, scgi/uwsgi- en njs-modules gebruiken we niet — dat verkleint het aanvalsoppervlak aanzienlijk. De charset-, rewrite- en ssl-module-CVE’s zijn het meest relevant voor onze config.

Advies

  • Werk het nginx-pakket bij via apt (op deze host regelt unattended-upgrades dat, met de nieuwe auto-reboot voor kernel-updates). Controleer de versie met nginx -v.
  • Overweeg ongebruikte modules niet te laden (Ubuntu’s nginx-pakket is modulair via modules-enabled/) — minder modules, minder blootstelling.
  • Onze server_tokens off verbergt de versie al, maar dat is cosmetisch: patchen is wat telt.

Lees het origineel: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42055

← terug naar overzicht