Nginx
高效能Web伺服器,由F5維護商業版(Nginx Plus)。
CVE-2026-42945(18年歷史漏洞)
- CVSS v4.0:9.2(重大)
- 公告日期:2026年5月13日
- 存在時間:18年(自 Nginx 0.6.27 引入)
- 元件:
ngx_http_rewrite_module - 觸發條件:rewrite指令使用含問號的PCRE擷取替換字串
- 攻擊效果:記憶體堆積溢位(可能RCE,需關閉ASLR)
- 認證要求:無需身分驗證
- 通報者:AI資安公司 Depthfirst
受影響版本
| 產品 | 版本 |
|---|---|
| Nginx Plus | R32 至 R36 |
| Nginx Open Source | 1.30.0 以前 |
| Nginx Instance Manager | 受影響 |
| Nginx Ingress Controller | 受影響 |
相關頁面
- f5 — 漏洞修補發布方
- memory-corruption-vulnerabilities — 漏洞類型