文章总结： NGINX曝出潜伏18年的高危堆缓冲区溢出漏洞CVE-2026-42945，CVSS评分9.2，影响0.6.27至1.30.0全版本。该漏洞可通过恶意HTTP请求触发，导致服务拒绝或特定条件下远程代码执行，已被野外武器化利用。建议立即升级版本、检查rewrite模块配置、开启ASLR并部署WAF进行防护。 综合评分： 85 文章分类： 漏洞分析,漏洞预警,应急响应,WEB安全,解决方案

NGINX惊爆18年老洞，野外攻击已开始

原创

安全客 安全客

安全客

2026年5月19日 19:49 北京

在小说阅读器读本章

去阅读

近日，威胁情报公司VulnCheck披露，NGINX的一个高危漏洞（CVE-2026-42945）已被野外攻击者武器化利用。这个堆缓冲区溢出漏洞潜伏在NGINX代码库中长达18年之久，CVSS 4.0评分高达9.2，影响NGINX 0.6.27至1.30.0的全版本范围。

事件概述

CVE-2026-42945隐藏在NGINX Plus和NGINX开源版本的ngx_http_rewrite_module模块中。据安全公司Depthfirst分析，该漏洞最早引入于2008年——也就是说，它在NGINX代码库里存在了整整18年，从未被发现。

VulnCheck的蜜罐网络已检测到针对该漏洞的真实攻击尝试。攻击者通过构造恶意HTTP请求触发漏洞，探测到目标后直接投递Webshell。

从漏洞公开披露到野外武器化，仅过去数天时间。

漏洞技术细节

1.影响范围

NGINX Plus及NGINX Open Source 0.6.27 ~ 1.30.0全版本。

2.攻击条件

• 无需认证，远程即可触发
• 通过构造恶意HTTP请求实现
• 需要特定NGINX配置可被利用
• 攻击者需知晓或探测到目标配置

3.潜在影响

• Worker进程崩溃：可直接导致服务拒绝（DoS）
• 远程代码执行：在ASLR被关闭的系统上可执行任意代码

安全研究员Kevin Beaumont指出，触发RCE需要同时满足两个条件：默认NGINX配置+系统关闭ASLR。AlmaLinux维护团队也表示，在默认配置下，将堆溢出转化为可靠的代码执行”并非易事”。

但维护团队同时强调：”并非易事”不等于”不可能”。仅DoS层面的利用已经足够构成紧急威胁。

安全观点

1.基础设施的”暗债”比想象中大

一个18年前的漏洞，影响全球数以百万计的NGINX实例。即使是经过最严格审查的开源基础设施组件，也可能存在长期未被发现的深层缺陷。”成熟稳定”不等于”没有问题”。

2.武器化窗口期正在急剧缩短

从漏洞披露到野外攻击，这次只用了几天。攻击者对高危漏洞的响应速度和防御者一样快——甚至更快。补丁发布后的”黄金修复窗口”不再是几周，而是几小时。

3.纵深防御不能依赖单一机制

ASLR确实提高了RCE的利用门槛，但DoS攻击在ASLR开启的情况下依然有效。把某个安全特性当成唯一防线，本身就是风险。安全设计应假设每一层都可能被绕过。

4.版本更新需要制度保障

很多组织的NGINX版本可能几年没动过。建立基础设施组件的版本追踪和定期更新机制，远比等到9.2分的漏洞出现在野外时紧急响应要有效得多。

修复建议

版本升级：升级NGINX最新版本

检查配置：审查ngx_http_rewrite_module相关配置

开启ASLR：确保系统地址空间布局随机化已启用

部署WAF：配置规则拦截已知exploit特征

临时缓解：对无法立即更新的系统，考虑临时禁用rewrite模块相关功能

END

推荐阅读

深度分析Sorry勒索软件的加密实现与行为特征

2026-04-29

全国50城巡装过半！无锡龙虾x漫剧大会落幕，AI普惠深耕长三角

2026-04-11

关于防范OpenClaw（“龙虾”）开源智能体安全风险的“六要六不要”建议

2026-03-12

258 个漏洞，你的 OpenClaw 真的安全吗？

2026-03-12

OpenAI发布应用安全智能体：可自主发现、验证并修复漏洞

2026-03-09

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全客 安全客 安全客《NGINX惊爆18年老洞，野外攻击已开始》