Nginx重大漏洞CVE-2026-42945已被用於攻擊
來源: iThome | ID: 416 | https://www.ithome.com.tw/news/175882 發布日期: 2026-05-18
摘要
Nginx CVE-2026-42945(CVSS v4.0 9.2)在 F5 發布修補後僅 3 天即遭野外利用,全球約 570 萬臺伺服器尚未套用修補程式。
漏洞概要
| 項目 | 詳情 |
|---|---|
| CVE編號 | CVE-2026-42945 |
| 修補日期 | 2026年5月13日(F5發布) |
| 漏洞年齡 | 18年前引入 |
| CVSS v4.0評分 | 9.2 / 10(重大) |
| 首次偵測利用 | 2026年5月16日(蜜罐陷阱) |
漏洞影響
- DoS攻擊:可造成伺服器服務中斷
- 任意程式碼執行:在特定情況下可達成 RCE
- 無需身分驗證即可利用
- 需伺服器導入**特定重新寫入組態設定(rewrite configuration)**才受影響
威脅現況
- VulnCheck研究員 Patrick Garrity 於 LinkedIn 發出警告
- 全球約 570萬臺伺服器尚未套用修補程式
- 實際存在風險的伺服器數量有限(需特定組態)
- 攻擊細節尚未完整揭露
建議行動
儘速套用F5發布的最新版Nginx修補程式,尤其使用重新寫入(rewrite)組態的伺服器應優先處理。
衍生頁面
- Nginx重大漏洞CVE-2026-42945遭野外利用 — 漏洞事件概念頁
- nginx — 受影響軟體(已有頁面,已更新)