Исследователи из компании DepthFirst AI обнаружили в NGINX критическую уязвимость CVE-2026-42945, набравшую 9,2 балла по шкале CVSS. Проблема затрагивает все версии NGINX от 0.6.27 до 1.30.0 и существовала в коде около 18 лет.

NGINX — один из самых популярных веб-серверов и реверс-прокси в мире. Его используют облачные провайдеры, SaaS-компании, банки, ecommerce-площадки и Kubernetes-кластеры. По сути, речь идет об уязвимости в инфраструктурном ПО, на котором держится значительная часть интернета.

Уязвимость представляет собой переполнение буфера хипа в модуле ngx_http_rewrite_module. Проблема возникает при использовании директив rewrite и set (такая конфигурация часто встречается в API-шлюзах и реверс-прокси).

Корень проблемы кроется в некорректной обработке состояния во внутреннем скриптовом движке NGINX. Сервер сначала рассчитывает размер буфера для данных, а затем копирует содержимое. Однако специальный флаг is_args после обработки символа «?» остается активным, из-за чего NGINX неверно оценивает объем памяти. В результате объем записываемых данных превышает размер выделенного буфера, что приводит к переполнению хипа.

Кроме того, исследователи продемонстрировали PoC-эксплоит, позволяющий добиться удаленного выполнения кода без аутентификации. Для этого они отправляли специально подготовленные HTTP-запросы, повреждая структуры памяти NGINX и заставляя сервер вызвать system() при очистке пула памяти.

Однако специалисты подчеркивают, что полноценного удаленного выполнения кода удалось добиться только в системе с отключенной защитой ASLR. Обычно эта технология включена по умолчанию, но ее иногда деактивируют ради повышения производительности.

Помимо CVE-2026-42945 исследователи обнаружили еще три бага, связанных с повреждением памяти. Среди них:

• CVE-2026-42946 — проблема в модулях SCGI/UWSGI, позволяющая спровоцировать выделение почти 1 Тбайт памяти и обрушить worker-процесс;


• CVE-2026-40701 — use-after-free при асинхронной обработке OCSP DNS-запросов;


• CVE-2026-42934 — off-by-one ошибка в UTF-8-парсере.

Разработчики F5 уже выпустили патчи. Исправления доступны в составе NGINX Open Source 1.31.0 и 1.30.1, а также в NGINX Plus R36 P4 и R32 P6. Также в бюллетене безопасности компании отмечается, что уязвимости затрагивали не только сам NGINX, но и связанные продукты, включая NGINX Ingress Controller, NGINX App Protect WAF и F5 DoS for NGINX.

Стоит отметить, что не все специалисты согласны с тем, что реальная эксплуатация этой проблемы проста. К примеру, известный ИБ-исследователь Кевин Бомонт (Kevin Beaumont) пишет, что опубликованный PoC работает только при специфической конфигурации NGINX и отключенном ASLR. Аналогичной позиции придерживаются и разработчики AlmaLinux: по их словам, организовать стабильную RCE на защищенных системах «не так уж просто».