漏洞概述
网络安全研究人员披露了一批影响 NGINX Plus 与 NGINX 开源版 的高危安全漏洞,其中编号 CVE-2026-42945 尤为严重,潜伏长达 18 年才被发现,被命名为 NGINX Rift,CVSS v4 高危评分高达 9.2。
该漏洞由安全团队 depthfirst 发现,存在于 ngx_http_rewrite_module 模块,属于堆缓冲区溢出漏洞。未授权攻击者只需构造特制 HTTP 请求,就能触发漏洞,实现远程代码执行 RCE 或 拒绝服务 DoS 攻击。
漏洞触发条件
F5 官方说明,当配置满足以下场景时存在风险:rewrite 指令后紧跟 rewrite/if/set 指令,且正则 PCRE 未命名捕获(如$1、$2)的替换字符串中包含 问号? 即可被利用。
攻击者无需登录、无需特殊权限,直接通过公网访问 NGINX,发送特制 URI 请求就能触发堆溢出;未开启 ASLR 地址随机化的服务器,风险更高,可被稳定拿下远程代码执行。反复发包还能让服务进程持续崩溃,造成业务长期不可用。
同批修复另外三个漏洞
本次同步修复其余 3 个高危漏洞,均无需授权即可远程利用:
CVE-2026-42946(评分 8.3)
SCGI、uWSGI 模块过度内存分配漏洞,中间人攻击者可操控上游响应、读取进程内存、造成服务重启。
CVE-2026-40701(评分 6.3)
SSL 模块释放后使用漏洞,开启客户端证书校验与 OCSP 时,可被利用篡改少量数据或重启服务。
CVE-2026-42934(评分 6.3)
编码字符集模块越界读取漏洞,特定代理与字符集配置下,可泄露内存敏感信息或引发进程崩溃。
受影响与修复版本
已修复版本
NGINX Plus:R32~R36(R32 P6、R36 P4 及以上修复)
NGINX 开源版:1.30.1、1.31.0 及以上
关联组件:NGINX 实例管理器、各类 WAF、DoS 防护、网关、入口控制器均已有对应修复版本
无修复计划
NGINX 开源版 0.6.27 ~ 0.9.7 老旧版本官方不再补丁维护,建议直接升级。
临时缓解方案(无法立刻升级时)
针对最严重的 CVE-2026-42945:修改网站 rewrite 规则,把配置里未命名正则捕获 $1/$2 全部改成命名捕获,规避漏洞触发条件,临时防护漏洞利用。
安全建议
尽快将 NGINX 升级至官方修复的稳定版本;
老旧无维护版本直接迁移升级,不要继续留守;
暂时无法升级的站点,优先整改 rewrite 正则配置,配合 WAF 拦截异常特制请求;
开启系统 ASLR 地址随机化,降低远程代码执行利用成功率。
觉得内容不错?我要
