NGINX Rift: 18 rokov stará zraniteľnosť umožňuje DoS a vzdialené vykonávanie kódu

Vývojári webového servera NGINX opravili 18 rokov starú zraniteľnosť NGINX Rift, ktorá umožňuje vzdialenému neautentifikovanému útočníkovi zaslaním HTTP požiadavky spôsobiť nedostupnosť serveru, a tiež mu umožňuje vykonávať kód.

Zraniteľné systémy:

• NGINX Plus R32 – R36
• NGINX Open Source 1.0.0 – 1.30.0
• NGINX Open Source 0.6.27 – 0.9.7
• NGINX Instance Manager 2.16.0 – 2.21.1
• F5 WAF for NGINX 5.9.0 – 5.12.1
• NGINX App Protect WAF 4.9.0 – 4.16.0
• NGINX App Protect WAF 5.1.0 – 5.8.0
• F5 DoS for NGINX 4.8.0
• NGINX App Protect DoS 4.3.0 – 4.7.0
• NGINX Gateway Fabric 1.3.0 – 1.6.2
• NGINX Gateway Fabric 2.0.0 – 2.5.1
• NGINX Ingress Controller 3.5.0 – 3.7.2
• NGINX Ingress Controller 4.0.0 – 4.0.1
• NGINX Ingress Controller 5.0.0 – 5.4.1

Opis činnosti:

CVE-2026-42945 (CVSS v4 skóre 9,2)

Bezpečnostní výskumníci odhalili kritickú zraniteľnosť v module webového servera NGINX ngx_http_rewrite_module, ktorá bola v kóde prítomná 18 rokov. Zraniteľnosť dostala označenie NGINX Rift. Problém sa týka NGINX Open Source a NGINX Plus a súvisí s nesprávnym spracovaním po sebe nasledujúcich direktív (rewrite, if, set) a regulárnych výrazov Perl-Compatible Regular Expression (PCRE) obsahujúcich znaky otáznikov.

CVE-2026-42945 umožňuje vzdialenému útočníkovi bez autentifikácie spôsobiť pomocou špeciálne vytvorených HTTP požiadaviek (špeciálne URI) pretečenie pamäte haldy a spôsobiť reštart serveru, resp. Jeho nedostupnosť (DoS). V prípade, že je vypnutá ochrana pamäte ASLR, útočník môže získať schopnosť vzdialene vykonávať kód.

Spolu s NGINX Rift boli na tejto platforme opravené aj tri ďalšie zraniteľnosti strednej a vysokej závažnosti, ktoré umožňujú čítať obsah pamäte, čiastočne modifikovať dáta a reštartovať procesy NGINX, resp. spôsobiť nedostupnosť služby.

Možné škody:

• Vzdialené vykonávanie kódu
• Nedostupnosť služby (DoS)

Odporúčania:

Bezodkladná aktualizácia NGINX Plus aspoň na verziu R32 P6 alebo R36 P4 a NGINX Open Source aspoň na 1.30.1 alebo 1.31.0. Pre ostatné zraniteľné produkty zatiaľ nie je dostupná aktualizácia.

Zraniteľnosť môžete mitigovať zmenou direktívy rewrite podľa postupu na stránke spoločnosti F5.

Pre hardening vášho webového servera NGINX odporúčame použiť návod od CSIRT.SK.

Odkazy:

• https://my.f5.com/manage/s/article/K000161019
• https://nvd.nist.gov/vuln/detail/CVE-2026-42945
• https://thehackernews.com/2026/05/18-year-old-nginx-rewrite-module-flaw.html