18-летняя уязвимость в ngx_http_rewrite_module NGINX позволяет неаутентифицированное RCE (CVE-2026-42945)

Коллеги, хочу обратить внимание: в сфере кибербезопасности выявлена критическая уязвимость в NGINX.
Исследователи depthfirst описали heap buffer overflow в ngx_http_rewrite_module (CVE-2026-42945, CVSS 9.2). Отправка специально сформированного HTTP-запроса может привести к удалённому выполнению кода или DoS.
Пострадали версии NGINX Plus и Open Source; исправления выпущены (см. патчи в R32+/1.30.1+ и др.). Также закрыты ещё три уязвимости в других модулях.
Если обновить невозможно — временно замените неименованные захваты ($1, $2) на именованные в директивах rewrite.
Почему это важно: уязвимость достижима без аутентификации и может привести к компрометации рабочих процессов.
Как Вы планируете реагировать в своей инфраструктуре?
#кибербезопасность #NGINX #уязвимости #AppSec


Последние комментарии
Комментариев пока нет.