5 月 14 日消息,海外科技媒体昨日发布安全爆料,曝光 NGINX 服务器软件存在一组高危漏洞。该漏洞群已在代码中潜伏约 18 年,影响范围覆盖全球近三分之一的网络服务器,一旦被利用,可引发服务崩溃甚至服务器被控的严重后果,全网安全风险急剧攀升。
据安全通报内容,此次曝光的漏洞共计 4 个,风险等级从高危到中危不等,其中最高漏洞评分达 9.2 分,属于顶级严重级别。具体漏洞编号及评级如下:CVE-2026-42945(9.2 分 严重)、CVE-2026-42946(8.3 分 高危)、CVE-2026-40701(6.3 分 中危)、CVE-2026-42934(6.3 分 中危)。这组漏洞的危害程度极高,且利用门槛极低,无需账号密码等登录认证,攻击者仅需构造一条特制的 HTTP 请求,发送至目标服务器,即可触发漏洞。
从漏洞影响来看,最直接的后果是导致 NGINX 工作进程异常崩溃,造成网站或服务中断,引发拒绝服务攻击。而在特定系统条件下,攻击者还能进一步突破防护,获取服务器远程代码执行权限,实现对服务器的完全控制,包括窃取数据、植入恶意程序、篡改网站内容等,对企业数据安全和业务稳定造成毁灭性打击。
此次漏洞的发现过程颇具代表性,安全研究团队在 4 月对 NGINX 代码库进行常规扫描时,通过自动化检测系统,仅用 6 小时就发现了 5 处代码问题,其中 4 个漏洞经官方验证确认属实,纳入本次安全通报范围。追溯漏洞源头,最严重的 CVE-2026-42945 漏洞可追溯至 2008 年,彼时相关代码被写入 NGINX 核心模块,此后 18 年间,该漏洞一直隐藏在代码中,未被发现,长期存在于几乎所有标准 NGINX 构建版本内。
作为全球应用最广泛的 web 服务器软件之一,NGINX 凭借高性能、高并发的优势,被全球约三分之一的网站部署使用,涵盖中小企业官网、大型电商平台、云服务集群、企业 API 网关等各类网络节点。这意味着,从普通个人网站到大型互联网企业,再到政务、金融等关键领域的网络服务,均可能受到此次漏洞威胁,影响面之广、风险之高,堪称近年来罕见的全网级安全事件。
深入技术层面分析,本次漏洞的核心根源集中在 NGINX 的 ngx_http_rewrite_module(URL 重写模块)处理逻辑缺陷。该模块是 NGINX 的核心组件,主要用于网站 URL 跳转、流量转发等关键功能,几乎所有 NGINX 服务器都会启用。漏洞触发的关键在于,模块处理参数转义时,一个内部标志位被设置为转义状态后,未及时重置清零,导致后续流程出现逻辑混乱。
具体而言,系统在计算数据长度时,按照原始字节数估算内存空间,但实际写入数据时,却再次执行转义操作。这种 “计算与执行不一致” 的逻辑错误,会导致攻击者构造的 URI 请求中,“+”“%”“&” 等特殊字符发生字节膨胀 —— 原本 1 字节的字符会被转义为 3 字节,最终超出预先分配的缓冲区容量,引发堆缓冲区溢出漏洞。
安全研究人员已成功开发出漏洞概念验证工具,实测结果显示,在关闭 ASLR(地址空间布局随机化)防护机制的环境中,攻击者可利用该漏洞实现无认证远程代码执行,直接控制服务器。更值得警惕的是,即便开启 ASLR 防护,攻击者仍可借助 NGINX 的多进程架构特性实施攻击。NGINX 采用主进程管理多个工作进程的模式,单个工作进程崩溃后,主进程会自动重启新进程,且重启后堆内存布局大概率保持一致,这为攻击者提供了反复试错的机会,可通过多次请求逐步绕过防护机制。
针对此次高危漏洞,NGINX 官方已紧急发布安全更新公告,明确给出修复版本及升级要求。开源版 NGINX 用户需优先升级至 1.31.0 或 1.30.1 版本;商业版 NGINX Plus 用户则需升级至 R36 P4 或 R32 P6 版本,升级完成后必须重启服务器,加载修复后的程序文件,才能彻底封堵漏洞。
对于暂时无法完成版本升级的用户,官方也提供了临时缓解方案,可快速降低攻击风险。具体操作是,将受影响 rewrite 规则中的未命名正则捕获(如$1、$2)修改为命名捕获格式。由于命名捕获不会触发存在缺陷的转义逻辑,可直接移除当前漏洞攻击面,为后续版本升级争取缓冲时间。
网络安全专家提醒,鉴于该漏洞潜伏周期长、影响范围广、利用门槛低,且已有成熟利用方法披露,全网 NGINX 用户需高度警惕,立即开展自查工作,排查服务器所用版本是否处于受影响范围。尤其是承载核心业务、敏感数据的服务器,需优先落实防护措施,避免因漏洞被攻击导致业务瘫痪、数据泄露等安全事故。后续还需持续关注官方安全动态,及时跟进修复,筑牢网络安全防线。
