Nginx 18年重大漏洞 CVE-2026-42945
CVSS v4.0 9.2分。自 Nginx 0.6.27 版引入,潛伏長達 18 年。由 AI 資安公司 Depthfirst 通報,F5 於 2026 年 5 月修補。
漏洞細節
- 位置:
ngx_http_rewrite_module - 類型:堆積緩衝區溢位(Heap Buffer Overflow)
- 條件:無需身分驗證;RCE 需關閉 ASLR
- 影響版本:
- Nginx Plus R32–R36
- Nginx Open Source 1.30.0 以前
時間線
| 時間 | 事件 |
|---|---|
| ~2008 | 漏洞隨 Nginx 0.6.27 引入 |
| 2026-05 | Depthfirst 通報 F5 |
| 2026-05-15 | 修補版本發布 |
影響評估
- 全球 Nginx 市佔率極高,潛在受害面極廣
- 需關閉 ASLR 才能達成 RCE,降低實際風險,但 DoS 仍可無條件觸發