A remote, anonymous attacker can exploit a vulnerability in NGINX and NGINX Plus to cause a denial of service and potentially execute arbitrary code, with a CVSS base score of 8.1 (High). Affected versions are NGINX Open Source prior to 1.31.1 and 1.30.2, and NGINX Plus prior to R37 P1, R36 P5, and R32 P7. A mitigation is available according to the advisory, which should be consulted for specific patching and workaround guidance.
[WID-SEC-2026-1661] NGINX Open Source und NGINX Plus: Schwachstelle ermöglicht Denial of Service und potenziell Codeausführung CVSS Base Score 8.1 (hoch) CVSS Temporal Score 7.1 (hoch) Remoteangriff ja Datum 25.05.2026 Stand 26.05.2026 Mitigation ja Betroffene Systeme Betriebssystem Linux UNIX Windows Produktbeschreibung NGINX ist eine Webserver-, Reverse Proxy- und E-Mail-Proxy Software. NGINX Plus ist die kommerzielle Variante von NGINX, einer Webserver-, Reverse Proxy- und E-Mail Proxy Software. Produkte 25.05.2026 NGINX NGINX Open Source <1.31.1 NGINX NGINX Open Source <1.30.2 NGINX NGINX Plus <37.0.1.1 NGINX NGINX Plus <R36 P5 NGINX NGINX Plus <R32 P7 Angriff Angriff Ein entfernter, anonymer Angreifer kann eine Schwachstelle in NGINX und NGINX NGINX Plus ausnutzen, um einen Denial of Service Angriff durchzuführen, und potenziell um beliebigen Programmcode auszuführen. CVE Informationen Versionshistorie Feedback zum Advisory geben