VulnCheck安全研究员Patrick Garrity周六透露,上周披露的一个关键的NGINX漏洞(CVE-2026-42945)正在被攻击者利用。
该漏洞被称为NGINX Rift,可以可靠地利用以触发拒绝服务状态,并可能允许未经身份验证的远程代码执行,所有这些都可以通过向易受攻击的NGINX实例发送专门制作的HTTP请求来实现。
什么是NGINX?
NGINX是部署最广泛的网络服务器,因此,它是现代网络基础设施的基本组成部分之一。它还可以扮演其他角色:负载平衡器、反向代理和HTTP缓存。
其开发由网络和应用程序交付公司F5监督,该公司维护和发布开源版本(NGINX开源),提供商业NGINX Plus版本,并将NGINX集成到其各种应用程序交付和安全解决方案中。
关于CVE-2026-42945
CVE-2026-42945是一个影响NGINX开源(版本0.6.27至1.30.0)和NGINX Plus(vR32至R36)的内存损坏漏洞。它还影响了F5的一些包含该软件的产品,如NGINX输入控制器、NGINX的F5 WAF等。
“ngx_http_rewrite_module中的一个错误允许远程、未经身份验证的攻击者通过发送精心制作的URI来破坏NGINX工作进程的堆。触发器是一种常见的配置模式:一个重写指令,带有未命名的正则表达式捕获(1美元,2美元)和一个包含问号的替换字符串,然后是另一个重写,如果或设置指令,”发掘漏洞的研究人员解释道。
“当该模式存在时,NGINX使用一组逃逸假设计算目标缓冲区,然后使用另一组写入它。写入运行超过分配的缓冲区,产生决定性内存损坏。写入分配的字节来自攻击者的URI,因此腐败是由攻击者塑造的,而不是随机的。重复请求也可用于使工人处于崩溃循环中,并降低实例服务的每个站点的可用性。”
PoC和剥削
Depthfirst的研究人员在该公司的人工智能原生漏洞检测平台的帮助下发现了CVE-2026-42945和其他四个安全问题。在这五个中,CVE-2026-42945是最关键的。
一旦F5发布修复和安全建议,Depthfirst研究人员发布了技术细节和概念验证(PoC)漏洞。
Garrity称,VulnCheck的金丝雀系统于5月16日开始标记漏洞和PoC公开三天后的利用企图。
这些尝试的有效性取决于目标系统。
虽然DoS可以在默认的NGINX配置上实现,但VulnCheck和安全研究员Kevin Beaumont都指出,如果攻击者设法在目标服务器上禁用地址空间布局随机化(ASLR),就可以实现代码执行。
“另一个警告是,目标服务器必须运行特定的重写配置才能受到攻击,因此并非每个NGINX实例都是可利用的。我们的Censys查询显示大约570万个互联网暴露的NGINX服务器运行一个潜在的脆弱版本,尽管真正可利用的人群可能是其中更小的子集,”VulnCheck初始访问团队指出。
修复
到目前为止,F5修复了以下漏洞:
- NGINX开源-版本1.31.0和1.30.1
- NGINX Plus – 版本R36 P4和R32 P6
- NGINX v5.13.0的F5 WAF
- 适用于NGINX v4.9.0的F5 DoS
它还提供了一个缓解措施:在重写定义中使用命名捕获,而不是未命名捕获。
AlmaLinux、Ubuntu和Debian开发人员已经开始发布补丁的nginx软件包。
原文链接地址:https://www.helpnetsecurity.com/2026/05/18/ngnix-vulnerability-exploited-cve-2026-42945/
