Nginx重大漏洞CVE-2026-42945已被用於攻擊

來源: iThome | ID: 416 | https://www.ithome.com.tw/news/175882 發布日期: 2026-05-18

摘要

Nginx CVE-2026-42945(CVSS v4.0 9.2)在 F5 發布修補後僅 3 天即遭野外利用,全球約 570 萬臺伺服器尚未套用修補程式。

漏洞概要

項目詳情
CVE編號CVE-2026-42945
修補日期2026年5月13日(F5發布)
漏洞年齡18年前引入
CVSS v4.0評分9.2 / 10(重大)
首次偵測利用2026年5月16日(蜜罐陷阱)

漏洞影響

  • DoS攻擊:可造成伺服器服務中斷
  • 任意程式碼執行:在特定情況下可達成 RCE
  • 無需身分驗證即可利用
  • 需伺服器導入**特定重新寫入組態設定(rewrite configuration)**才受影響

威脅現況

  • VulnCheck研究員 Patrick Garrity 於 LinkedIn 發出警告
  • 全球約 570萬臺伺服器尚未套用修補程式
  • 實際存在風險的伺服器數量有限(需特定組態)
  • 攻擊細節尚未完整揭露

建議行動

儘速套用F5發布的最新版Nginx修補程式,尤其使用重新寫入(rewrite)組態的伺服器應優先處理。

衍生頁面