文章总结： 文档总结了2026年5月16日发布的五个高危网络安全漏洞动态，涉及NGINX堆缓冲区溢出、VMwareFusion本地权限提升、WindowsNetlogon远程代码执行、ExchangeServerOWA欺骗等关键漏洞。核心发现包括NGINX漏洞潜伏18年且存在公开PoC，Exchange漏洞已被野外利用。可操作建议包括立即升级NGINX至1.30.1、启用Exchange缓解工具、优先修补域控制器和应用VMwareFusion补丁，并建议48小时内处理高优先级漏洞。 综合评分： 88 文章分类： 漏洞分析,威胁情报,应急响应,漏洞预警,解决方案

今日（2026年5月16日）热点网络安全漏洞动态

奇安信 CERT

2026年5月16日 14:01 江苏

在小说阅读器读本章

去阅读

2026-05-16 | 威胁等级: High | 来源: SecurityOnline.info · NVD · thehackernews

一、NGINX ngx_http_rewrite_module 堆缓冲区溢出漏洞 (CVE-2026-42945)

CVSS 9.2CriticalNGINX Rift

受影响产品：NGINX Open Source 0.6.27 至 1.30.0、NGINX Plus R32 至 R36 及相关产品（Ingress Controller、App Protect）。几乎所有使用 rewrite/if/set 指令结合未命名 PCRE 捕获（如 $1、$2）和含”?”替换字符串的配置。

影响：未授权远程攻击者通过精心构造的 HTTP 请求触发堆缓冲区溢出，可导致 worker 进程崩溃（DoS）或在 ASLR 禁用时实现远程代码执行（RCE）。存在公开 PoC，影响全球约 1/3 网站基础设施。

热度原因：NGINX 是最广泛部署的 Web 服务器之一，此漏洞潜伏近 18 年（自 2008 年起），AI 辅助发现 + 公开 PoC 迅速推高关注度。Patch Tuesday 期间相关讨论叠加，互联网暴露实例多，易被大规模利用。

修复建议：立即升级到 NGINX 1.30.1（稳定版）或 1.31.0（主线版）。临时缓解：修改配置使用命名捕获（如 named 替代 $1/$2）或移除易触发 rewrite 组合；监控日志中的异常请求；启用 ASLR 并限制暴露。

二、VMware Fusion TOCTOU 本地权限提升漏洞 (CVE-2026-41702)

本地LPE高可靠VMware Fusion

受影响产品：VMware Fusion 25H2 及之前版本（运行于 macOS）。

影响：本地非管理员用户通过 SETUID 二进制中的时间-of-check to time-of-use（TOCTOU）竞争条件，可提升权限至 root。无需额外交互，高可靠。

热度原因：VMware 虚拟化产品广泛用于开发/测试环境，root 权限提升风险高；近期 Linux/虚拟化权限提升漏洞链讨论多，此漏洞在 5 月中旬披露，安全站点重点推送，吸引 Mac 管理员关注。

修复建议：升级到 VMware Fusion 26H1（或最新版本）。Broadcom 推荐立即应用 VMSA-2026-0003 补丁。临时措施：限制本地用户访问 Fusion 主机，监控 SETUID 二进制活动。

三、Microsoft Windows Netlogon 栈缓冲区溢出漏洞 (CVE-2026-41089)

CVSS 9.8CriticalWindows Server

受影响产品：Windows Server 2012 及更高版本（域控制器相关组件）。

影响：未授权远程攻击者通过低复杂度攻击实现域控制器 SYSTEM 权限（Critical RCE/EoP）。无需凭证或用户交互。

热度原因：Patch Tuesday（5月12/13日）披露的 30+ Critical 漏洞之一，Netlogon 是高价值目标（类似历史 ZeroLogon），企业域环境广泛，安全社区和 Patch 分析广泛讨论，热度持续至本周。

修复建议：立即应用 Microsoft May 2026 安全更新（KB 等）。优先修补域控制器；监控 Netlogon 流量异常；启用相关缓解措施直至全覆盖。

四、Microsoft Exchange Server OWA Spoofing 漏洞 (CVE-2026-42897)

已在野利用CVSS 高Exchange Server

受影响产品：Exchange Server 2016、2019、Subscription Edition（On-Premises）；Exchange Online 不受影响。

影响：攻击者通过恶意邮件诱导用户浏览器交互，可在 OWA 中执行 JavaScript（spoofing/潜在 RCE 链）。已野外利用。

热度原因：已确认野外利用 + CISA/Exchange Team 警报，5月15日前后安全站点重点报道，企业邮件系统高危，易被钓鱼结合。

修复建议：启用 Exchange Emergency Mitigation Service (EEMS) 或运行 On-Premises Mitigation Tool（注意可能影响部分功能如日历打印）。等待完整补丁并检查日志异常；用户端警惕可疑邮件。

五、其他值得关注的漏洞

Linux Kernel ptrace 相关本地权限提升（近期 PoC 发布）：允许非特权用户 root 文件访问，Linux 服务器广泛影响。

Cisco SD-WAN 认证绕过（CVE-2026-20182，CVSS 10，已利用）：网络设备管理员接管风险高，建议立即修补。

六、总体修复建议

最高优先（立即处理）：

① NGINX rewrite module RCE（CVE-2026-42945，CVSS 9.2）——立即升级到 NGINX 1.30.1/1.31.0+。

② Exchange OWA Spoofing（CVE-2026-42897，已野外利用）——立即启用 EEMS 或运行缓解工具。

③ Cisco SD-WAN 认证绕过（CVE-2026-20182，CVSS 10）——立即应用厂商补丁；限制网络设备管理接口暴露。

高优先级（48小时内处理）：

① VMware Fusion TOCTOU LPE（CVE-2026-41702）——升级到 Fusion 26H1；监控 SETUID 二进制。

② Windows Netlogon 栈溢出（CVE-2026-41089，CVSS 9.8）——立即应用 MS May 更新；优先修补域控制器。

③ Linux Kernel ptrace LPE——更新内核；限制非特权用户访问。

优先处理互联网暴露的 Web/边缘服务（NGINX）和关键基础设施（Windows/Exchange/VMware）。使用漏洞扫描工具验证，关注 CISA KEV 和厂商公告。信息实时变化，建议查阅官方 MSRC、NGINX/F5、Broadcom 公告获取最新补丁。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：奇安信 CERT 《今日（2026年5月16日）热点网络安全漏洞动态》