2026-06-15 04:42:20 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： CVE-2026-9256是Nginxngxhttprewrite_module中的高危堆缓冲区溢出漏洞，影响0.6.27至1.31.0版本。攻击者通过嵌套捕获组触发信息泄露，可获取堆地址和libc基址。文档提供完整复现步骤包括环境搭建、三种POC（导致崩溃、堆泄漏、libc泄漏）及修复建议（修改rewrite规则或升级至1.30.2/1.31.1）。与CVE-2026-42945对比指出触发机制不同需单独修复。 综合评分： 87 文章分类： 漏洞分析,漏洞POC,实战经验,WEB安全,安全建设

cover_image

CVE-2026-9256 Nginx堆泄漏漏洞复现分析

松杨网络安全资料库

2026年6月2日 15:50 广东

在小说阅读器读本章

去阅读

漏洞概述

CVE-2026-9256 是存在于 Nginx ngx_http_rewrite_module 中的一个高危漏洞，攻击者可通过构造包含嵌套捕获组的 rewrite 规则触发堆缓冲区溢出，进而获取服务器堆地址和 libc 基址，为实现远程代码执行（RCE）奠定基础。

漏洞等级：高危（High）

影响版本：Nginx 0.6.27 ~ 1.31.0（修复版本：1.30.2 stable、1.31.1 mainline）

漏洞类型：堆缓冲区溢出 → 信息泄露

环境搭建

1. 拉取漏洞环境

git&nbsp;clone&nbsp;https://github.com/3nou9h/CVE-2026-9256-Poc.git

拉取漏洞环境

2. 拉取 Nginx 镜像

docker pull nginx:1.31.0
docker compose up --build -d

启动漏洞环境

环境启动成功后，Nginx 服务将在容器中运行。

漏洞复现

POC1：导致 Nginx 崩溃

使用 crash_verify.py 脚本验证漏洞可使 Nginx 服务崩溃：

python3 crash_verify.py <目标IP> 19321

该脚本发送包含9层嵌套捕获组的特制请求，可观察到 Nginx worker 进程异常终止（signal 6/11），服务不可用。

crash_verify.py执行截图

POC2：获取堆指针

使用 heap_leak.py 脚本可获取 Nginx 内部堆内存地址：

python3 heap_leak.py <目标IP> 19321

成功执行后可获取到 ngx_http_script_engine_t 结构体中的堆地址信息（e->ip、e->sp、e->request），为后续利用提供信息。

heap_leak.py执行截图

POC3：获取 Libc 地址

使用 libc_leak.py 脚本可进一步获取 GLIBC 库的内存地址：

# （需关闭 ASLR）
python3 libc_leak.py <目标IP> 19321

libc_leak 需要靶机关闭 ASLR：sudo sysctl -w kernel.randomize_va_space=0，然后重启 Docker 容器。

成功执行后可获取到 libc 区域的函数指针地址。

libc_leak.py执行截图

修复建议

临时措施

检查并移除 Nginx 配置中使用嵌套捕获组的 rewrite 规则（如 rewrite ^/path/((.+))$ ...），改为非嵌套写法

   # 嵌套捕获组 ((.+))，触发堆缓冲区溢出
   location /echo/ {
   &nbsp; &nbsp; rewrite ^/echo/((.+))$ /show?x=$1&y=$2&nbsp;last;
   }

   # 缓解措施：去掉嵌套，只保留一层捕获组
   location /echo/ {
   &nbsp; &nbsp; rewrite ^/echo/(.+)$ /show?x=$1&nbsp;last;
   }

配置 WAF 过滤 URI 中包含大量重复字符（如连续 + 号）的异常请求

长期措施

升级 Nginx 至 1.30.2（stable）或 1.31.1（mainline）及以上版本

Nginx 升级命令

# 停止当前服务
docker stop <container_id>
# 升级到安全版本（1.30.2 stable）
docker pull nginx:1.30.2

与 CVE-2026-42945 对比

CVE-2026-9256 与 CVE-2026-42945（Nginx Rift）均存在于 ngx_http_rewrite_module，均为堆缓冲区溢出漏洞，但触发机制并不相同：

| 对比项 | CVE-2026-42945（Rift） | CVE-2026-9256 | | — | — | — | | 根因 | is_args 标志在主引擎和子引擎间不一致 | 嵌套捕获组长度计算与复制遍不一致 | | 触发条件 | rewrite 替换包含 ? | rewrite 规则使用嵌套捕获组 ((.+)) | | 溢出控制 | + 号数量 × URI 扩展倍率 | + 号数量 × 嵌套层数 | | 影响范围 | 0.6.27 ~ 1.30.0, 1.31.0 | 0.6.27 ~ 1.31.0 | | 修复版本 | 1.30.1 / 1.31.0 | 1.30.2 / 1.31.1 | | CVE-42945 缓解措施对 9256 有效？ | — | 无效，触发机制不同 |

结论：CVE-2026-42945 的缓解措施（如过滤包含 ? 的 rewrite 替换）对 CVE-2026-9256 无效，必须升级到 1.30.2 或 1.31.1 及以上版本才能同时修复两个漏洞。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：松杨网络安全资料库《CVE-2026-9256 Nginx堆泄漏漏洞复现分析》