文章总结： F5安全公告披露NGINXngxhttpdav_module存在堆缓冲区溢出漏洞CVE-2026-27654（CVSS8.2/8.8），攻击者可远程触发Worker进程崩溃或文件篡改。漏洞需同时满足使用DAV模块MOVE/COPY方法、前缀location及alias指令。受影响版本包括NGINXPlusR32-R36及开源版1.0.0-1.29.6，修复方案为升级至1.29.7等版本或添加Destination头校验临时缓解。 综合评分： 92 文章分类： 漏洞分析,应急响应,解决方案,WEB安全,应用安全

F5 安全公告：NGINX ngx_http_dav_module 漏洞 CVE-2026-27654

生有可恋

2026年4月14日 21:12 湖北

在小说阅读器读本章

去阅读

来源：https://my.f5.com/manage/s/article/K000160382 发布日期：2026-03-24 | 更新日期：2026-03-24

🔴 漏洞概述

| 项目 | 详情 | | — | — | | 漏洞编号 | CVE-2026-27654 | | 漏洞类型 | CWE-122 堆缓冲区溢出（Heap-based Buffer Overflow） | | 严重等级 | High — CVSS v3.1: 8.2 / CVSS v4.0: 8.8 | | 攻击方式 | 远程、未认证 | | 影响面 | 仅数据平面，不影响控制平面 |

⚠️ 漏洞描述

NGINX 的 ngx_http_dav_module 模块存在缓冲区溢出漏洞，可能导致：

1. 1. NGINX Worker 进程崩溃 → 拒绝服务（DoS），流量中断
2. 2. 文档根目录外的文件名被篡改 → 受限的完整性影响（因 Worker 进程权限较低，无法访问整个系统）

触发条件（三个条件需同时满足）

1. 1. 配置中使用了 DAV 模块的 MOVE 或 COPY 方法
2. 2. 使用了前缀 location（非正则表达式 location 配置）
3. 3. 使用了 alias 指令

🛡️ 受影响版本

| 产品 | 受影响版本 | 修复版本 | | — | — | — | | NGINX Plus R3x | R32 ~ R36 | R36 P3 / R35 P2 / R32 P5 | | NGINX Open Source 1.x | 1.0.0 ~ 1.29.6 | 1.29.7 / 1.28.3 | | NGINX Open Source 0.x | 0.5.13 ~ 0.9.7 | ❌ 不予修复 |

不受影响的产品

• • BIG-IP Next（SPK / CNF / for Kubernetes）
• • BIG-IP（所有模块）/ BIG-IQ 集中管理
• • F5 Distributed Cloud（所有服务）/ F5 Silverline / NGINX One Console
• • F5OS-A / F5OS-C
• • Traffix SDC / F5 AI Gateway

🔧 修复方案

方案一：升级（推荐）

安装修复版本中列出的更新版本。如果当前版本已高于同分支的修复版本，则已包含修复。

方案二：临时缓解

在 WebDAV 的 location 块开头添加 HTTP Destination 头检查，确保该头为空或以预期 location 名开头，否则返回 400 错误： 修改前：

location /foo {
    dav_methods PUT DELETE MKCOL COPY MOVE;
    create_full_put_path on;
    dav_access    group:rw all:r;
    limit_except GET {
        allow 192.168.1.0/32;
        deny all;
    }
}

修改后：

location /foo {
    if ($http_destination !~* '^$|/foo') {
        return 400;
    }
    dav_methods PUT DELETE MKCOL COPY MOVE;
    create_full_put_path on;
    dav_access    group:rw all:r;
    limit_except GET {
        allow 192.168.1.0/32;
        deny all;
    }
}

验证与重载：

# 测试配置语法
sudo nginx -t
# 重载配置
sudo service nginx reload

⚠️ F5 建议在维护窗口内测试变更，评估对具体环境的影响。如有多个 WebDAV 配置块，建议逐一测试。

📌 建议操作

1. 1. 立即升级到修复版本（首选方案）
2. 2. 如暂时无法升级，应用临时缓解方案
3. 3. 0.x 分支用户必须升级到 1.x（0.x 不再修复）
4. 4. 维护窗口内充分测试配置变更

🙏 致谢

漏洞由 Calif.io 与 Claude / Anthropic Research 协同发现，并遵循最高标准的协同披露流程。

📎 参考资料

• • Module ngx_http_dav_module
• • K41942608: Overview of MyF5 security advisory articles
• • K4602: Overview of the F5 security vulnerability response policy
• • K51812227: Understanding security advisory versioning

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：生有可恋 《F5 安全公告：NGINX ngxhttpdav_module 漏洞 CVE-2026-27654》