一、漏洞概述

近期，安全研究机构depthfirst发现NGINX存在一个隐藏长达18年的高危内存损坏漏洞（CVE-2026-42945），该漏洞属于堆缓冲区溢出类型，CVSS v4.0评分达9.2（Critical，临界风险），利用门槛极低，可被远程未授权攻击者利用，造成严重安全威胁。

漏洞官方标识：CVE-2026-42945（NGINX Rift）

参考链接：https://depthfirst.com/nginx-rift

二、漏洞详情

1. 漏洞位置

漏洞存在于NGINX每个通用发行版均包含的ngx_http_rewrite_module（rewrite模块）中，属于原生模块漏洞，无需额外安装插件即可触发。

2. 影响范围

重点影响NGINX Open Source（开源版本），具体版本为 0.6.27 至 1.30.0；此外，NGINX Plus、NGINX Instance Manager等相关衍生产品也存在对应版本受影响情况（详细受影响版本可参考参考链接）。

3. 漏洞原理

该漏洞源于NGINX在处理请求时的缓冲区计算逻辑异常：在计算目标缓冲区大小时，采用的是原始字节长度；但在实际向缓冲区写入数据时，会对内容进行URL转义处理，其中 +、%、& 等特殊字符会被扩展为3倍长度，导致写入内容超出缓冲区分配大小，形成可控堆溢出（堆喷射），最终被攻击者利用实现远程代码执行。

4. 安全危害

远程未授权攻击者可通过发送精心构造的HTTP请求，直接触发漏洞，实现远程代码执行；同时，也可通过重复发送请求，导致NGINX工作进程崩溃循环，降低服务可用性，影响所有由该NGINX实例承载的站点。该漏洞无需身份认证、无需前置访问权限，可直接从公网发起攻击。

三、升级要求

为彻底防范该漏洞带来的安全风险，请所有使用受影响版本NGINX的用户，立即完成版本升级，具体升级要求如下：

1.       优先升级至NGINX Open Source安全版本：1.31.0 或 1.30.1（两个版本均已修复该漏洞）；

2.       升级完成后，需重启NGINX服务，确保补丁生效（重启方式可参考：systemctl restart nginx 或对应环境的重启命令）；

3.       升级前请做好数据与配置备份（建议备份NGINX配置文件、网站根目录及日志文件），避免升级过程中出现服务异常或数据丢失；若为源码编译部署，需提前安装编译依赖，确保升级顺利；

4.       若暂时无法完成版本升级，可临时通过修改rewrite配置规避风险：将所有包含未命名正则捕获（$1、$2）且替换字符串含问号的rewrite指令，改为命名捕获模式（具体参考参考链接中的缓解配置示例）。

四、注意事项

1.       请务必高度重视该漏洞，本次漏洞存在18年未被发现，且利用门槛极低，目前虽未发现野外利用案例，但需尽快完成升级，防范潜在攻击；

2.       升级过程中若遇到版本兼容、服务启动失败等问题，可参考NGINX官方文档或联系技术支持；

3.       升级完成后，可通过 nginx -v命令验证版本是否已更新至安全版本；同时检查rewrite配置，确认无漏洞触发条件；

4.       若使用基于NGINX的反向代理、负载均衡、Ingress控制器等衍生产品，请确认产品是否受影响，及时联系厂商获取修复方案。

五、补充说明

该漏洞由depthfirst平台自主发现，F5（NGINX官方）已于2026年5月13日确认漏洞并发布对应补丁及安全公告（F5 Security Advisory: K000161019）。本次升级为紧急安全升级，请所有受影响用户务必在最短时间内完成整改，杜绝安全风险。