【安全快讯】NGINX 爆出 18 年高危漏洞
NGINX 官方确认高危漏洞 CVE-2026-42945(代号:NGINX Rift):
- 漏洞类型:堆缓冲区溢出(CVSS 9.2 Critical)
- 影响版本:0.6.27 ~ 1.30.0(2008 年引入,已潜伏 18 年)
- 攻击方式:攻击者发送特制 HTTP 请求即可触发,可导致服务崩溃或远程代码执行(RCE)
- 修复版本:1.30.1 和 1.31.0(已发布)
信源:
- CVE 编号:CVE-2026-42945
- 官方公告:NGINX Security Advisories(nginx.org)
- 发现与研究:DepthFirst 团队
- 厂商确认:F5 / NGINX
可复现的工作 RCE PoC
GitHub - DepthFirstDisclosures/Nginx-Rift: exploit for CVE-2026-42945 · GitHub
- NGINX 版本在 0.6.27 ~ 1.30.0 之间
- nginx.conf 中存在特定 rewrite 配置模式(典型如 rewrite 后面紧跟 set、if 或另一个 rewrite)
- 攻击者发送特制 URI 的 HTTP 请求
21 个帖子 - 17 位参与者
来源: LinuxDo 最新话题查看原文