VulnCheck报告显示,NGINX Plus和NGINX开源版本中新披露的安全漏洞(CVE-2026-42945)在公开披露数日后已遭野外利用。该堆缓冲区溢出漏洞存在于ngx_http_rewrite_module组件中,影响0.6.27至1.30.0版本,AI原生安全公司depthfirst溯源发现该漏洞最早可追溯至2008年代码提交。
漏洞利用条件分析
未经认证的攻击者可通过构造特殊HTTP请求使工作进程崩溃,或在特定条件下实现远程代码执行(RCE)。但值得注意的是,RCE利用需满足两个前提条件:
目标设备禁用地址空间布局随机化(ASLR)保护机制
攻击者需掌握易受攻击的特定NGINX配置
安全研究员Kevin Beaumont指出:"要实现RCE,不仅需要特定配置,攻击者还需知晓该配置细节。若系统启用ASLR(所有受支持的AlmaLinux版本默认开启),则难以实现稳定的漏洞利用。"AlmaLinux维护团队补充道:"虽然完整利用存在难度,但导致工作进程崩溃的拒绝服务攻击已具备足够威胁性,建议用户紧急处理。"
野外攻击态势
VulnCheck蜜罐网络已监测到利用该漏洞的攻击尝试,但攻击者的最终目标尚不明确。F5公司已发布修复补丁,建议用户立即更新。
openDCIM三重漏洞链式利用
同期,VulnCheck还披露了针对开源数据中心管理平台openDCIM的两大高危漏洞(CVSS评分均为9.3)的利用活动:
CVE-2026-28515:权限缺失漏洞。已认证用户可越权访问LDAP配置功能,在Docker部署环境下若未强制REMOTE_USER认证,攻击者无需凭证即可修改应用配置。
CVE-2026-28517:操作系统命令注入漏洞。report_network_map.php组件未对"dot"参数过滤,直接传递至系统命令执行。
上述漏洞由VulnCheck研究员Valentin Lobstein于2026年2月发现,与同期的SQL注入漏洞(CVE-2026-28516)组合后,攻击者可通过5次HTTP请求实现远程代码执行并建立反向shell。VulnCheck安全研究副总裁Caitlin Condon表示:"当前观测到的攻击活动源自单一中国IP,攻击者使用定制化AI漏洞发现工具Vulnhuntr自动扫描易受攻击系统后植入PHP网页shell。"
参考来源:
NGINX CVE-2026-42945 Exploited in the Wild, Causing Worker Crashes and Possible RCE