NGINX 被曝一组高危漏洞,已潜伏约 18 年,威胁全球约三分之一的网络服务器。
- CVE-2026-42945 - (9.2 Critical)
- CVE-2026-42946 - (8.3 High)
- CVE-2026-40701 - (6.3 Medium)
- CVE-2026-42934 - (6.3 Medium)
已发布修复版本:NGINX Open Source 用户应升级至 1.31.0 或 1.30.1,NGINX Plus 用户应升级至 R36 P4 或 R32 P6,升级后需重启服务使补丁生效。对于暂时无法升级的用户,可通过将配置中所有未命名捕获组($1、$2)替换为命名捕获组的方式规避触发条件。排查方法为:确认已安装的 NGINX 版本区间,并在配置文件中检索同时含有未命名捕获组与问号替换字符串的 rewrite 指令。
5 个帖子 - 5 位参与者
来源: LinuxDo 最新话题查看原文