NGINX 曝 9.2 分高危漏洞:潜伏 18 年,威胁全球约 1/3 服务器
📝 摘要
NGINX 被曝一组潜伏约 18 年的高危漏洞,威胁全球约三分之一的网络服务器。本次曝光 4 个漏洞,分别为 CVE-2026-42945(9.2 Critical)、CVE-2026-42946(8.3 High)、CVE-2026-40701(6.3 Medium)、CVE-2026-42934(6.3 Medium)。攻击者无需登录认证,发送特制 HTTP 请求可使 NGINX 工作进程崩溃,合适条件下可获服务器远程代码执行权限。问题出在 ngx_http_rewrite_module 的处理逻辑,攻击者 URI 中部分字符会使缓冲区溢出。depthfirst 已做出概念验证,显示关闭 ASLR 可实现未认证 RCE。修复方面,NGINX Open Source 需升级到 1.31.0 或 1.30.1,NGINX Plus 需升级到 R36 P4 或 R32 P6 并重启服务。暂时无法升级,可把受影响 rewrite 规则中的未命名正则捕获改成命名捕获。
✍️ 编辑摘要
这条资讯的核心议题是“NGINX 曝 9.2 分高危漏洞:潜伏 18 年,威胁全球约 1/3 服务器”。
从当前聚合摘要看,最值得先关注的是:NGINX 被曝一组潜伏约 18 年的高危漏洞,威胁全球约三分之一的网络服务器;本次曝光 4 个漏洞,分别为 CVE-2026-42945(9.2 Critical)、CVE-2026-42946(8.3 High)、CVE-2026-40701(6.3 Medium)、CVE-2026-42934(6.3 Medium)。
目前已有 3 个来源跟进,说明该话题已经具备持续传播信号。
如果你只看一遍,这条新闻与后续判断最相关的点是:该话题已被 3 个来源提及,说明它不只是单点噪声,更可能是正在扩散的行业事件。
📌 关键信息
- NGINX 被曝一组潜伏约 18 年的高危漏洞,威胁全球约三分之一的网络服务器
- 本次曝光 4 个漏洞,分别为 CVE-2026-42945(9.2 Critical)、CVE-2026-42946(8.3 High)、CVE-2026-40701(6.3 Medium)、CVE-2026-42934(6.3 Medium)
- 攻击者无需登录认证,发送特制 HTTP 请求可使 NGINX 工作进程崩溃,合适条件下可获服务器远程代码执行权限
🔎 来源对比
- 当前聚合到 3 条来源记录,覆盖 3 个站点。
- 已覆盖来源:aibase、开源中国、IT 之家。
- 不同来源的标题表述存在差异,适合交叉查看以确认各自强调的重点。