NGINX 漏洞 CVE-2026-42945 安全提醒
近期,NGINX 官方发布安全更新,修复了 ngx_http_rewrite_module 模块中的缓冲区溢出漏洞,漏洞编号为 CVE-2026-42945。
该漏洞主要影响 NGINX Open Source 0.6.27 至 1.30.0 版本(大约是 2008 年至今的所有版本),官方已在 NGINX 1.30.1 stable 和 NGINX 1.31.0 mainline 中完成修复。
同时,本次安全更新还覆盖修复了 HTTP/2、SCGI/uWSGI、charset、HTTP/3、OCSP resolver 等相关模块的多个安全问题,建议正在使用 NGINX 的用户及时检查当前版本并根据实际情况进行升级处理。
一、漏洞说明
CVE-2026-42945 位于 NGINX 的 ngx_http_rewrite_module 模块中。
在特定 rewrite 配置条件下,攻击者可能通过构造 HTTP 请求触发该漏洞,导致 NGINX worker 进程异常退出或重启,从而影响网站访问稳定性。关键信息如下:
- 漏洞类型:堆缓冲区溢出(CWE-122: Heap-based Buffer Overflow)
- CVSS 3.1 评分:8.1(HIGH)
- CVSS 4.0 评分:9.2(CRITICAL)
- 触发条件:rewrite 指令后紧跟带有未命名 PCRE 捕获组(如
$1、$2)的 rewrite/if/set 指令 - 潜在影响:NGINX worker 进程异常退出或重启;在 ASLR 禁用的系统上可能进一步导致代码执行
由于 rewrite / 伪静态规则在网站环境中极为常见,且 NGINX 通常作为网站访问入口、反向代理或负载均衡入口,建议用户不要忽略本次安全更新。
完整的 PoC 信息可在 GitHub 上搜索获取。
二、本次更新覆盖的相关漏洞
除 CVE-2026-42945 外,NGINX 1.30.1 / 1.31.0 还修复了以下安全问题:
| 漏洞编号 | 影响模块 | 风险类型 | 风险等级 |
|---|---|---|---|
| CVE-2026-42945 | ngx_http_rewrite_module | 缓冲区溢出 | Medium |
| CVE-2026-42926 | ngx_http_proxy_module | HTTP/2 请求注入 | Medium |
| CVE-2026-42946 | ngx_http_scgi_module / ngx_http_uwsgi_module | 缓冲区越界读取 | Medium |
| CVE-2026-42934 | ngx_http_charset_module | 缓冲区越界读取 | Low |
| CVE-2026-40460 | HTTP/3 | 地址伪造 | Medium |
| CVE-2026-40701 | OCSP resolver | use-after-free | Medium |
虽然不同漏洞的影响条件有所差异,但从整体安全角度来看,建议低于 NGINX 1.30.1 / 1.31.0 的用户尽快完成版本检查与升级。
三、影响范围
受影响版本:NGINX 0.6.27 – 1.30.0
建议升级至:
- NGINX 1.30.1 stable 及以上版本
- NGINX 1.31.0 mainline 及以上版本
如果您不确定当前环境是否受影响,可在终端中执行以下命令查看当前 NGINX 版本:
四、修复建议
方式一:源码编译安装的用户
重新拉取官方最新源码进行编译:
- 主线版本:NGINX 1.31.0
- LTS 版本:NGINX 1.30.1
方式二:通过宝塔面板安装的用户
情况 A:当前已安装版本非 1.30.1
打开 网站 → Nginx → 版本切换:
选择 1.30(对应小版本 1.30.1),点击「切换」,等待切换完成:
切换完成后,请前往软件商店确认已是最新版本:
情况 B:当前已安装版本为 1.30.0
打开软件商店,找到 Nginx,直接点击更新即可:
更新和版本切换过程均可能导致服务短暂中断,建议在业务低峰期处理,并自行评估业务影响。
五、温馨提醒
NGINX 通常位于网站访问链路的最前端,很多站点的 HTTPS、反向代理、伪静态、API 转发等能力都依赖 NGINX 提供。
即使当前网站访问正常,也建议及时检查版本。以下场景建议优先处理:
- 配置过伪静态 / rewrite 规则的站点
- 企业官网、业务系统、客户站点等重要生产环境
为避免升级过程中出现异常,建议操作前做好数据备份,并尽量选择业务低峰期进行处理。