近日，威胁情报公司VulnCheck披露，NGINX的一个高危漏洞（CVE-2026-42945）已被野外攻击者武器化利用。这个堆缓冲区溢出漏洞潜伏在NGINX代码库中长达18年之久，CVSS 4.0评分高达9.2，影响NGINX 0.6.27至1.30.0的全版本范围。

一、事件概述

CVE-2026-42945隐藏在NGINX Plus和NGINX开源版本的ngx_http_rewrite_module模块中。据安全公司Depthfirst分析，该漏洞最早引入于2008年——也就是说，它在NGINX代码库里存在了整整18年，从未被发现。

VulnCheck的蜜罐网络已检测到针对该漏洞的真实攻击尝试。攻击者通过构造恶意HTTP请求触发漏洞，探测到目标后直接投递Webshell。

从漏洞公开披露到野外武器化，仅过去数天时间。

二、漏洞技术细节

1.影响范围

NGINX Plus及NGINX Open Source 0.6.27 ~ 1.30.0全版本。

2.攻击条件

• 无需认证，远程即可触发
• 通过构造恶意HTTP请求实现
• 需要特定NGINX配置可被利用
• 攻击者需知晓或探测到目标配置

3.潜在影响

• Worker进程崩溃：可直接导致服务拒绝（DoS）
• 远程代码执行：在ASLR被关闭的系统上可执行任意代码

安全研究员Kevin Beaumont指出，触发RCE需要同时满足两个条件：默认NGINX配置+系统关闭ASLR。AlmaLinux维护团队也表示，在默认配置下，将堆溢出转化为可靠的代码执行”并非易事”。

但维护团队同时强调：”并非易事”不等于”不可能”。仅DoS层面的利用已经足够构成紧急威胁。

三、安全观点

1.基础设施的”暗债”比想象中大

一个18年前的漏洞，影响全球数以百万计的NGINX实例。即使是经过最严格审查的开源基础设施组件，也可能存在长期未被发现的深层缺陷。”成熟稳定”不等于”没有问题”。

2.武器化窗口期正在急剧缩短

从漏洞披露到野外攻击，这次只用了几天。攻击者对高危漏洞的响应速度和防御者一样快——甚至更快。补丁发布后的”黄金修复窗口”不再是几周，而是几小时。

3.纵深防御不能依赖单一机制

ASLR确实提高了RCE的利用门槛，但DoS攻击在ASLR开启的情况下依然有效。把某个安全特性当成唯一防线，本身就是风险。安全设计应假设每一层都可能被绕过。

4.版本更新需要制度保障

很多组织的NGINX版本可能几年没动过。建立基础设施组件的版本追踪和定期更新机制，远比等到9.2分的漏洞出现在野外时紧急响应要有效得多。

四、修复建议

版本升级：升级NGINX最新版本

检查配置：审查ngx_http_rewrite_module相关配置

开启ASLR：确保系统地址空间布局随机化已启用

部署WAF：配置规则拦截已知exploit特征

临时缓解：对无法立即更新的系统，考虑临时禁用rewrite模块相关功能