【漏洞通告】Nginx远程代码执行漏洞(CVE-2026-42945)
💡
原文中文,约1900字,阅读约需5分钟。
📝
内容提要
绿盟科技CERT监测到Nginx存在远程代码执行漏洞(CVE-2026-42945),攻击者可通过特制HTTP请求触发堆缓冲区溢出,导致服务拒绝或远程执行代码。受影响版本包括NGINX Open Source 0.6.27至1.30.0及部分NGINX Plus版本。建议用户尽快升级至安全版本,或通过替换未命名捕获来临时缓解风险。
🎯
关键要点
-
绿盟科技CERT监测到Nginx存在远程代码执行漏洞(CVE-2026-42945),攻击者可通过特制HTTP请求触发堆缓冲区溢出。
-
受影响版本包括NGINX Open Source 0.6.27至1.30.0及部分NGINX Plus版本。
-
漏洞评分为CVSS 9.2,建议用户尽快升级至安全版本。
-
漏洞影响特定配置条件下的未命名捕获,且rewrite指令的替换字符串中包含问号(?)。
-
若无法立即升级,用户可通过替换未命名捕获来临时缓解风险。
❓
延伸问答
Nginx的远程代码执行漏洞是什么?
Nginx的远程代码执行漏洞(CVE-2026-42945)允许攻击者通过特制HTTP请求触发堆缓冲区溢出,导致服务拒绝或远程执行代码。
哪些Nginx版本受到此漏洞影响?
受影响的版本包括NGINX Open Source 0.6.27至1.30.0及部分NGINX Plus版本。
如何检测我的Nginx是否受到此漏洞影响?
可以通过命令搜索Nginx配置目录中的高风险配置模式,并检查ASLR是否关闭来判断是否受影响。
如果无法立即升级Nginx,我该如何临时缓解风险?
可以将受影响的rewrite指令中的未命名捕获替换为命名捕获,以临时缓解风险。
CVE-2026-42945的CVSS评分是多少?
该漏洞的CVSS评分为9.2,属于高危漏洞。
Nginx的官方升级链接在哪里?
官方升级链接为:https://nginx.org/en/download.html。
➡️
