Pesquisadores de cibersegurança revelaram múltiplas vulnerabilidades que afetam o NGINX Plus e o NGINX Open Source, incluindo uma falha crítica que passou 18 anos sem ser detectada.
A vulnerabilidade, descoberta pela depthfirst, é um caso de estouro de buffer na heap que afeta o módulo ngx_http_rewrite_module, identificada como
CVE-2026-42945
e com nota CVSS v4 de 9,2.
Ela pode permitir que um invasor execute código remotamente ou provoque uma negação de serviço (DoS) por meio de requisições cuidadosamente preparadas.
O problema recebeu o codinome NGINX Rift.
Em um alerta divulgado na quarta-feira, a F5 informou que o NGINX Plus e o NGINX Open Source têm uma vulnerabilidade no módulo ngx_http_rewrite_module.
A empresa explicou que a falha ocorre quando a diretiva rewrite é seguida por outra diretiva rewrite, if ou set e uma captura sem nome da expressão regular compatível com Perl (PCRE), por exemplo, $1 ou $2, com uma string de substituição que inclui um ponto de interrogação (?).
Um atacante sem autenticação, desde que algumas condições externas sejam cumpridas, pode explorar essa vulnerabilidade enviando requisições HTTP manipuladas.
Isso pode causar um estouro de buffer na heap no processo worker do NGINX, levando a uma reinicialização.
Além disso, em sistemas com o Address Space Layout Randomization (ASLR) desativado, a execução de código é possível.
O problema foi corrigido nas versões abaixo, após a divulgação responsável em 21/04/2026:
NGINX Plus R32 a R36, com correções introduzidas no R32 P6 e no R36 P4
NGINX Open Source 1.0.0 a 1.30.0, com correções introduzidas em 1.30.1 e 1.31.0
NGINX Open Source 0.6.27 a 0.9.7, sem correções previstas
NGINX Instance Manager 2.16.0 a 2.21.1
F5 WAF for NGINX 5.9.0 a 5.12.1
NGINX App Protect WAF 4.9.0 a 4.16.0
NGINX App Protect WAF 5.1.0 a 5.8.0
F5 DoS for NGINX 4.8.0
NGINX App Protect DoS 4.3.0 a 4.7.0
NGINX Gateway Fabric 1.3.0 a 1.6.2
NGINX Gateway Fabric 2.0.0 a 2.5.1
NGINX Ingress Controller 3.5.0 a 3.7.2
NGINX Ingress Controller 4.0.0 a 4.0.1
NGINX Ingress Controller 5.0.0 a 5.4.1
Em seu alerta, a depthfirst disse que a vulnerabilidade pode permitir que um atacante remoto e sem autenticação corrompa a heap de um processo worker do NGINX ao enviar uma URI manipulada.
O que torna a falha grave é o fato de ela ser alcançável sem autenticação, poder ser explorada de forma confiável para acionar o estouro de heap e levar à execução remota de código no processo worker do NGINX.
Um atacante que consiga alcançar um servidor NGINX vulnerável por HTTP pode enviar uma única requisição que transborda a heap no processo worker e obtém execução remota de código, afirmou a depthfirst.
Não há etapa de autenticação, nem necessidade de acesso prévio, e também não é preciso existir uma sessão ativa.
Os bytes gravados além da alocação são derivados da URI do atacante, portanto a corrupção é moldada pelo próprio atacante, e não aleatória.
Requisições repetidas também podem ser usadas para manter os workers em um ciclo de falhas e degradar a disponibilidade de todos os sites atendidos pela instância.
Além de
CVE-2026-42945
, o NGINX Plus e o NGINX Open Source também receberam correções para outras três falhas:
CVE-2026-42946
, CVSS v4 8,3: vulnerabilidade de alocação excessiva de memória nos módulos ngx_http_scgi_module e ngx_http_uwsgi_module, que pode permitir que um atacante remoto e sem autenticação, com capacidade de adversary-in-the-middle (AitM), controle respostas de um servidor upstream para ler a memória do processo worker do NGINX ou reiniciá-lo quando a diretiva scgi_pass ou uwsgi_pass estiver configurada.
CVE-2026-40701
, CVSS v4 6,3: vulnerabilidade de use-after-free no módulo ngx_http_ssl_module, que pode permitir que um atacante remoto e sem autenticação tenha controle limitado sobre a modificação de dados ou reinicie o processo worker do NGINX quando a diretiva ssl_verify_client estiver definida como "on" ou "optional", e a diretiva ssl_ocsp estiver definida como "on".
CVE-2026-42934
, CVSS v4 6,3: vulnerabilidade de leitura fora dos limites no módulo ngx_http_charset_module, que pode permitir que um atacante remoto e sem autenticação divulgue o conteúdo da memória ou reinicie o processo worker do NGINX quando as diretivas charset, source_charset e charset_map, além de proxy_pass com buffering desativado ("off"), estiverem configuradas.
Os usuários são orientados a aplicar as versões mais recentes para obter a melhor proteção.
Se a correção imediata de
CVE-2026-42945
não for possível, a recomendação é alterar a configuração de rewrite, substituindo capturas sem nome por capturas nomeadas em todas as diretivas rewrite afetadas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...