漏洞概述

2026年5月14日，安全研究团队depthfirst披露了NGINX中存在的一组高危漏洞，其中最严重的CVE-2026-42945（代号"NGINX Rift"）被评为CVSS v4.0评分9.2分（严重级别），可追溯至2008年，已在NGINX代码库中潜伏长达18年。该漏洞存在于ngx_http_rewrite_module中，是一个堆缓冲区溢出漏洞，攻击者无需任何认证，仅需发送特制的HTTP请求即可触发NGINX工作进程崩溃，在特定条件下甚至可实现远程代码执行(RCE)。

由于NGINX作为全球使用量极高的反向代理服务器，承载着约三分之一的网站流量，这一漏洞的影响范围极其广泛，威胁全球互联网关键基础设施的安全³。研究人员表示，几乎所有标准NGINX构建版本都受到此漏洞影响¹。

漏洞技术细节

漏洞根源分析

该漏洞的根本原因在于ngx_http_rewrite_module的处理逻辑存在缺陷。具体来说，当连续执行rewrite和set指令时，模块内部的一个标志位被设为参数转义状态后没有正确清除。这导致后续计算数据长度时按原始字节数估算，但在真正写入时却再次进行转义处理。

这种不一致性使得攻击者URI中的特殊字符（如"+"、"%"、"&"等）会从1字节膨胀到3字节，导致原本分配的缓冲区空间不足，最终触发堆缓冲区溢出。depthfirst团队已经开发出可运行的概念验证(PoC)，证明在关闭地址空间布局随机化(ASLR)的保护机制下，攻击者可以实现未经认证的远程代码执行。

漏洞利用机制

研究人员发现，NGINX的多进程架构在这一漏洞的利用过程中反而为攻击者提供了便利。当某个工作进程因攻击而崩溃后，NGINX主进程会自动拉起新的工作进程，而新的进程可能保持与之前相同的堆布局，这为攻击者提供了反复尝试的机会。

理论上，攻击者可以通过以下步骤利用此漏洞：

1. 发送特制HTTP请求，包含精心构造的URI参数
2. 触发rewrite模块的缓冲区溢出
3. 通过逐步覆盖堆内存中的指针字节，尝试绕过ASLR保护
4. 最终实现任意代码执行

相关漏洞

除主要的CVE-2026-42945外，研究团队还发现了三个相关漏洞：

• CVE-2026-42946（CVSS 8.3分）：可导致worker进程因分配约1TB内存而崩溃
• CVE-2026-40701（CVSS 6.3分）：TLS连接提前关闭导致的释放后使用漏洞
• CVE-2026-42934（CVSS 6.3分）：越界读取问题

这些漏洞共同构成了对NGINX服务器的严重威胁链。

影响范围评估

受影响版本

根据官方公告，以下NGINX版本受到CVE-2026-42945漏洞影响：

• NGINX开源版：所有低于1.31.0和1.30.1的版本
• NGINX Plus：所有低于R36 P4和R32 P6的版本

风险场景

该漏洞特别危险之处在于：

1. 无需认证：攻击者无需任何登录凭证即可利用
2. 单包攻击：只需发送一个特制HTTP请求即可触发
3. 高成功率：NGINX的多进程架构为攻击者提供多次尝试机会
4. 广泛存在：几乎所有标准NGINX构建版本都受影响，全球约1/3网站使用NGINX

修复与缓解方案

官方修复方案

NGINX官方已发布安全更新，建议所有用户立即采取以下措施：

• NGINX开源版：升级至1.31.0或1.30.1版本
• NGINX Plus：升级至R36 P4或R32 P6版本
• 重启服务：升级后必须重启NGINX服务以加载修复后的二进制文件

临时缓解措施

对于暂时无法升级的用户，官方提供了以下临时缓解方案：

1. 修改rewrite规则：将受影响rewrite规则中的未命名正则捕获改为命名捕获。因为命名捕获不会经过有问题的转义路径，从而移除当前攻击面。
2. 示例修改（nginx）：

   # 易受攻击的写法（未命名捕获）
   rewrite ^/(.*)$ /newpath/$1 break;
   
   # 安全写法（命名捕获）
   rewrite ^/(?<section>.*)$ /newpath/$section break;

3. 限制访问：通过防火墙规则限制对NGINX服务器的访问，仅允许可信来源

检测与验证

漏洞检测方法

管理员可通过以下方式检测系统是否受影响：

1. 版本检查：

   nginx -v

   检查输出版本是否低于受影响版本
2. 配置审查：检查nginx.conf及包含的配置文件中是否使用了rewrite和set指令组合
3. 日志监控：检查错误日志中是否有worker进程异常崩溃记录
4. 流量分析：监控是否有异常的URI请求模式

概念验证(PoC)分析

depthfirst团队已开发出可工作的PoC，演示了在关闭ASLR保护的条件下实现RCE的过程。虽然公开的PoC尚未广泛传播，但安全研究人员预测很快会出现公开的利用代码。

最佳实践建议

除了立即应用修复外，建议NGINX管理员采取以下纵深防御措施：

1. 最小权限原则：

   • 以非root用户运行NGINX工作进程
   • 限制worker进程的系统权限

2. 强化配置：

   • 禁用不必要的模块
   • 严格限制rewrite规则的使用
   • 启用所有可用的安全头

3. 运行时保护：

   • 启用ASLR和DEP等内存保护机制
   • 考虑使用Seccomp等内核级沙箱

4. 监控与响应：

   • 实施实时入侵检测系统(IDS)
   • 建立快速响应机制

漏洞发现过程启示

这一漏洞是由depthfirst团队在2026年4月通过自动化扫描NGINX代码库时发现的。其自动化系统在短短6小时内就发现了5个问题，其中4个获得了NGINX官方的确认。这一发现过程凸显了：

1. 自动化安全审计工具在现代代码审计中的重要性
2. 长期存在的代码缺陷可能在广泛使用的软件中潜伏多年
3. 模块化设计中的接口风险，即使像NGINX这样经过严格审查的项目也存在隐患

总结

CVE-2026-42945（NGINX Rift）是近年来影响最为广泛的Web服务器漏洞之一，其长达18年的潜伏期、无需认证的利用条件以及可能导致的远程代码执行后果，使其成为全球服务器管理员必须立即应对的严重威胁。所有使用NGINX的组织都应优先处理此漏洞的修复工作，采取多层次防御措施保护关键网络基础设施。

随着攻击技术的不断演进和自动化漏洞扫描工具的普及，类似长期潜伏的高危漏洞可能会被更多地发现。这一事件再次提醒我们，即使是成熟稳定的开源项目也需要持续的安全投入和及时的更新维护。