nginx-kwetsbaarheden mei–juli 2026: proxy, rewrite, charset, QUIC, njs en meer
nginx serveert deze site én proxyt Miniflux — dus deze cluster is direct relevant. Tussen mei en juli 2026 verscheen een reeks kwetsbaarheden in verschillende nginx-modules.
De CVE’s (per module)
- CVE-2026-42055 —
ngx_http_proxy_v2_module/ngx_http_grpc_module(juli). - CVE-2026-48142 / CVE-2026-42934 —
ngx_http_charset_module. - CVE-2026-9256 / CVE-2026-42945 —
ngx_http_rewrite_module. - CVE-2026-42946 —
ngx_http_scgi_module/ngx_http_uwsgi_module. - CVE-2026-40701 —
ngx_http_ssl_module. - CVE-2026-40460 —
ngx_quic_module(HTTP/3). - CVE-2026-8711 — NGINX JavaScript (njs).
Een deel is door externe bronnen als “Multiple Vulnerabilities … Could Allow for Remote Code Execution” geclassificeerd.
Waarom dit relevant is voor deze stack
Onze nginx gebruikt: de proxy-module (/miniflux/), de SSL-module (TLS), en rewrite/return
(de HTTP→HTTPS-redirect). De QUIC-, grpc-, scgi/uwsgi- en njs-modules gebruiken we niet —
dat verkleint het aanvalsoppervlak aanzienlijk. De charset-, rewrite- en ssl-module-CVE’s zijn
het meest relevant voor onze config.
Advies
- Werk het
nginx-pakket bij viaapt(op deze host regeltunattended-upgradesdat, met de nieuwe auto-reboot voor kernel-updates). Controleer de versie metnginx -v. - Overweeg ongebruikte modules niet te laden (Ubuntu’s nginx-pakket is modulair via
modules-enabled/) — minder modules, minder blootstelling. - Onze
server_tokens offverbergt de versie al, maar dat is cosmetisch: patchen is wat telt.