Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

18 години стара ранливост во NGINX Rewrite модулот овозможува неавтентицирано далечинско извршување на код (RCE)

Објавено: 14.05.2026

Истражувачи за сајбер-безбедност открија повеќе безбедносни ранливости кои ги засегаат NGINX Plus и NGINX Open Source, вклучувајќи критична грешка што останала незабележана цели 18 години.

Ранливоста, откриена од depthfirst, претставува heap buffer overflow проблем во ngx_http_rewrite_module (CVE-2026-42945, CVSS v4 оценка: 9.2), кој може да му овозможи на напаѓач да изврши далечински код или да предизвика denial-of-service (DoS) преку специјално изработени барања. Ранливоста е кодно именувана како NGINX Rift.

„NGINX Plus и NGINX Open Source имаат ранливост во модулот ngx_http_rewrite_module“, соопшти F5 во безбедносно известување објавено во средата. „Ранливоста постои кога rewrite директивата е проследена со rewrite, if или set директива и неименуван Perl-Compatible Regular Expression (PCRE) capture (на пример, $1, $2) со replacement string што содржи прашалник (?).“

„Неавтентициран напаѓач, заедно со услови надвор од негова контрола, може да ја искористи оваа ранливост преку испраќање специјално изработени HTTP барања. Ова може да предизвика heap buffer overflow во NGINX worker процесот, што води до негов рестарт. Дополнително, кај системи каде што Address Space Layout Randomization (ASLR) е оневозможен, можно е и извршување код.“

Проблемот е поправен во следните верзии по одговорното пријавување на 21 април 2026 година:

  • NGINX Plus R32 – R36 (поправки воведени во R32 P6 и R36 P4)
  • NGINX Open Source 1.0.0 – 1.30.0 (поправки во 1.30.1 и 1.31.0)
  • NGINX Open Source 0.6.27 – 0.9.7 (не се планирани поправки)
  • NGINX Instance Manager 2.16.0 – 2.21.1
  • F5 WAF for NGINX 5.9.0 – 5.12.1
  • NGINX App Protect WAF 4.9.0 – 4.16.0
  • NGINX App Protect WAF 5.1.0 – 5.8.0
  • F5 DoS for NGINX 4.8.0
  • NGINX App Protect DoS 4.3.0 – 4.7.0
  • NGINX Gateway Fabric 1.3.0 – 1.6.2
  • NGINX Gateway Fabric 2.0.0 – 2.5.1
  • NGINX Ingress Controller 3.5.0 – 3.7.2
  • NGINX Ingress Controller 4.0.0 – 4.0.1
  • NGINX Ingress Controller 5.0.0 – 5.4.1

Во сопственото известување, depthfirst наведе дека ранливоста може да му овозможи на далечински, неавтентициран напаѓач да ја корумпира heap меморијата на NGINX worker процесот преку испраќање специјално изработен URI. Она што ја прави ранливоста сериозна е тоа што е достапна без автентикација, може сигурно да се искористи за предизвикување heap overflow и може да доведе до далечинско извршување код во NGINX worker процесот.

„Напаѓач кој може да пристапи до ранлив NGINX сервер преку HTTP може да испрати едно единствено барање што предизвикува heap overflow во worker процесот и овозможува далечинско извршување код“, соопшти depthfirst. „Нема чекор за автентикација, нема потреба од претходен пристап и нема потреба од постоечка сесија.“

„Бајтите што се запишуваат надвор од алоцираниот простор потекнуваат од URI-то на напаѓачот, што значи дека корупцијата е контролирана од напаѓачот, а не случајна. Повторени барања може да се користат и за одржување на worker процесите во crash loop и да ја нарушат достапноста на сите сајтови што ги опслужува инстанцата.“

Покрај ова, во NGINX Plus и NGINX Open Source се поправени уште три други ранливости:

  • CVE-2026-42946 (CVSS v4: 8.3) – ранливост поврзана со прекумерна алокација на меморија во модулите ngx_http_scgi_module и ngx_http_uwsgi_module, што може да му овозможи на далечински, неавтентициран напаѓач со adversary-in-the-middle (AitM) способности да чита меморија од NGINX worker процесот или да го рестартира кога се користат scgi_pass или uwsgi_pass.
  • CVE-2026-40701 (CVSS v4: 6.3) – use-after-free ранливост во ngx_http_ssl_module, што може да му овозможи на далечински, неавтентициран напаѓач ограничена контрола врз модификација на податоци или рестарт на worker процесот кога ssl_verify_client е поставено на "on" или "optional" и ssl_ocsp е "on".
  • CVE-2026-42934 (CVSS v4: 6.3) – out-of-bounds read ранливост во ngx_http_charset_module, што може да му овозможи на далечински, неавтентициран напаѓач да открие содржина од меморијата или да го рестартира worker процесот кога се конфигурирани charset, source_charset, charset_map и proxy_pass со исклучен buffering ("off").

На корисниците им се препорачува да ги инсталираат најновите верзии за оптимална заштита. Доколку итното ажурирање не е можно за CVE-2026-42945, се препорачува промена на rewrite конфигурацијата со замена на неименуваните captures со именувани captures во сите засегнати rewrite директиви.

Извори:

  • The Hacker News – 18-Year-Old NGINX Rewrite Module Flaw Enables Unauthenticated RCE The Hacker News