2026年5月13日,安全研究团队depthfirst披露NGINX存在一组高危漏洞,其中最严重CVE-2026-42945可追溯至2008年。
攻击者无需认证,仅需发送特制HTTP请求即可触发工作进程崩溃,甚至实现远程代码执行。
漏洞源于ngx_http_rewrite_module的缓冲区溢出缺陷,影响所有标准NGINX构建版本。
全球约三分之一网站使用NGINX,风险广泛。
相关研究人员称,攻击者无需登录认证,只需发送一条特制HTTP请求,就能让NGINX工作进程崩溃;在合适条件下,还可能拿到服务器远程代码执行权限
官方已发布修复方案:NGINX开源版需升级至1.31.0或1.30.1,Plus版需升级至R36 P4或R32 P6,并重启服务。
暂无法升级者可改用命名正则捕获作为临时缓解措施。
如果是安装宝塔的服务器,只需要登录宝塔,在软件商店找到 Nginx 点击,打开后切换版本, 切换成 1.30 ,确认切换后等待完成,完成后 即可成最新的修复版 Nginx 1.30.1!最后重启服务器完成。
网站资讯
