Nginx 18年重大漏洞 CVE-2026-42945

CVSS v4.0 9.2分。自 Nginx 0.6.27 版引入,潛伏長達 18 年。由 AI 資安公司 Depthfirst 通報,F5 於 2026 年 5 月修補。

漏洞細節

  • 位置ngx_http_rewrite_module
  • 類型:堆積緩衝區溢位(Heap Buffer Overflow)
  • 條件:無需身分驗證;RCE 需關閉 ASLR
  • 影響版本
    • Nginx Plus R32–R36
    • Nginx Open Source 1.30.0 以前

時間線

時間事件
~2008漏洞隨 Nginx 0.6.27 引入
2026-05Depthfirst 通報 F5
2026-05-15修補版本發布

影響評估

  • 全球 Nginx 市佔率極高,潛在受害面極廣
  • 需關閉 ASLR 才能達成 RCE,降低實際風險,但 DoS 仍可無條件觸發

來源文章

相關頁面

  • nginx — 受影響產品
  • f5 — 修補廠商