全球互联网关键基础设施NGINX出现高危漏洞 仅需发送特制HTTP请求即可拿下服务器
内容提要
全球互联网关键基础设施NGINX出现高危安全漏洞,攻击者可通过特制HTTP请求远程控制受影响服务器。该漏洞影响版本为0.6.27至1.30.0,用户需尽快升级至1.30.1或1.31.0版本以避免风险。F5已发布修复程序,建议用户查看相关安全公告。
关键要点
-
NGINX出现高危安全漏洞,攻击者可通过特制HTTP请求远程控制受影响服务器。
-
该漏洞影响版本为0.6.27至1.30.0,用户需尽快升级至1.30.1或1.31.0版本以避免风险。
-
漏洞编号为CVE-2026-42945,源于NGINX脚本引擎中的堆缓冲区溢出问题。
-
受影响的衍生产品包括NGINX WAF、F5 WAF、NGINX Gateway Fabric、NGINX Ingress Controller等。
-
F5已发布修复程序,建议用户查看相关安全公告以获取更多信息。
延伸解读
漏洞影响范围广泛
NGINX作为全球使用量极高的反向代理服务器,其市场占有率接近30%。此次漏洞可能影响大量互联网服务,用户需高度重视,及时升级以防止潜在的安全风险。
修复措施与升级建议
F5已发布修复程序,建议所有使用NGINX及其衍生产品的用户尽快升级至1.30.1或1.31.0版本。用户应关注F5的安全公告,以获取最新的版本信息和安全建议。
漏洞根源分析
该漏洞源于NGINX脚本引擎中的堆缓冲区溢出问题,触发条件较为隐蔽。用户在配置NGINX时需特别注意相关指令的组合,以避免无意中激活漏洞。
延伸问答
NGINX的高危漏洞是什么?
NGINX的高危漏洞允许攻击者通过特制HTTP请求远程控制受影响的服务器,漏洞编号为CVE-2026-42945。
哪些版本的NGINX受到此漏洞影响?
受影响的NGINX版本为0.6.27至1.30.0。
如何修复NGINX的高危漏洞?
用户需将NGINX升级至1.30.1或1.31.0版本以修复该漏洞。
该漏洞的根本原因是什么?
漏洞源于NGINX脚本引擎中的堆缓冲区溢出问题,涉及重写指令和长度计算的逻辑错误。
F5公司对此漏洞采取了什么措施?
F5公司已发布修复程序,并建议用户查看相关安全公告以获取更多信息。
此漏洞可能影响哪些衍生产品?
受影响的衍生产品包括NGINX WAF、F5 WAF、NGINX Gateway Fabric和NGINX Ingress Controller等。