文章总结： Nginx-poolslip漏洞（CVE-2026-9256）存在于ngxhttprewrite_module中，当重写指令使用特定重叠PCRE捕获组时，可被未经身份验证的远程攻击者通过HTTP请求触发堆缓冲区溢出，导致拒绝服务或潜在代码执行。该漏洞影响NginxPlusR32–R36及开源版0.1.17–1.30.1、1.31.0，用户需立即升级至修复版本（如NginxPlusR36P5/R32P7或开源版1.30.2/1.31.1），但部分下游产品（如Nginx实例管理器、WAF等）暂无可用补丁。 综合评分： 92 文章分类： 漏洞预警,漏洞分析,应急响应,Web安全

Nginx-poolslip 漏洞可导致拒绝服务攻击和代码执行攻击——立即修复！

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年5月24日 17:12 北京

在小说阅读器读本章

去阅读

全球部署最广泛的网络服务器之一中新披露的一个漏洞，迫使管理员们再次启动紧急补丁程序。

该漏洞被追踪为CVE-2026-9256，公开昵称为 nginx-poolslip，它影响 NGINX Plus 和 NGINX Open Source，并且可以通过未经身份验证的远程攻击者通过纯 HTTP 触发。

该漏洞存在于 中ngx_http_rewrite_module，与最近的“NGINX Rift”漏洞（CVE-2026-42945）涉及的组件相同。

根据 F5 的建议，当重写指令使用具有不同、重叠的 PCRE 捕获组的正则表达式模式（例如 ^/((.*))$）与引用多个捕获的替换字符串配对时，就会出现这种情况，例如$1$2在重定向或参数上下文中。

在这种情况下，攻击者发送精心构造的请求可以触发 NGINX 工作进程中的堆缓冲区溢出漏洞 (CWE-122)。NGINX 为每个请求使用一个专用的内存池，并在请求完成后一次性释放所有内存。

在该池结构内部，NGINX 维护着一个清理处理程序的链表，如果攻击者能够覆盖或重定向该处理程序指针，池销毁就成为控制流劫持的机会。

早期的 Rift 漏洞利用了缓冲区大小计算错误，而 poolslip 漏洞则通过不同的代码路径，在同一池中相邻的链接结构之间触发受控指针“滑动”，从而攻击同一个损坏目标。

至关重要的是，研究人员证实，针对先前缺陷的补丁未能修复底层内存池攻击面，这使得更新后的代码库中出现 poolslip 漏洞成为可能。

至少，该漏洞会导致工作进程崩溃并重启，从而造成拒绝服务攻击。更严重的是，在地址空间布局随机化 (ASLR) 被禁用或攻击者可以绕过 ASLR 的系统上，代码执行仍然可能发生。

F5指出，该漏洞不涉及控制平面，完全属于数据平面问题。该漏洞的严重程度评级为高/8.1（CVSS v3.1）和严重/9.2（CVSS v4.0）。

鉴于 NGINX 在反向代理、API 网关和 Kubernetes 入口控制器中的普遍应用，其暴露的资源占用范围非常巨大。

受影响版本及修复方案

NGINX 开源版0.1.17存在1.30.1漏洞1.31.0；请升级到 1.30.2 或 1.31.1。R32–R36 上的 NGINX Plus 用户应升级到 R36 P5 或 R32 P7，37.x 用户应升级到 R37.0.1.1。

| 产品 | 易受攻击的版本 | 修复版本 | | — | — | — | | NGINX Plus | 37.0.0 R32 – R36 | 37.0.1.1 R36 P5、R32 P7 | | NGINX 开源 | 1.31.0 1.0.0 – 1.30.1 0.1.17 – 0.9.7 | 1.31.1 和 1.30.2 版本 无法修复 | | NGINX实例管理器 | 2.17.0 – 2.22.0 | 没有任何 | | F5 WAF for NGINX | 5.9.0 – 5.13.0 | 没有任何 | | NGINX App Protect WAF | 5.2.0 – 5.8.0 4.10.0 – 4.16.0 | 无 无 | | F5 DoS攻击NGINX | 4.9.0 | 没有任何 | | NGINX App Protect DoS | 4.3.0 – 4.7.0 | 没有任何 | | NGINX 网关架构 | 2.0.0 – 2.6.1 1.3.0 – 1.6.2 | 无 无 | | NGINX 入口控制器 | 5.0.0 – 5.4.2 4.0.0 – 4.0.1 3.5.0 – 3.7.2 | 无 无 无 | | NGINX（所有其他产品） | 没有任何 | 不适用 |

下游产品，包括 NGINX 实例管理器、F5 WAF for NGINX、NGINX 应用保护（WAF 和 DoS 防护）、NGINX 网关架构和 NGINX 入口控制器，都继承了存在漏洞的组件，应在修复程序发布后进行更新。0.x 分支将不会修复此漏洞。

该漏洞由 Winfunc Research 的 Mufeed VH、Nebula Security 和 Vexera AI 共同发现。由于已有概念验证活动在传播，各组织应立即修复该漏洞。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《Nginx-poolslip 漏洞可导致拒绝服务攻击和代码执行攻击——立即修复！》