Pesquisadores da DepthFirst AI revelaram uma vulnerabilidade crítica no NGINX, identificada como CVE-2026-42945, com uma pontuação de 9,2 na escala CVSS. A falha afeta todas as versões do NGINX de 0.6.27 a 1.30.0 e existiu no código por aproximadamente 18 anos. O NGINX é um dos servidores web e reverse proxies mais populares do mundo, amplamente utilizado por provedores de nuvem, empresas SaaS, bancos, plataformas de e-commerce e clusters Kubernetes. Essencialmente, trata-se de uma vulnerabilidade em um software de infraestrutura que sustenta uma parte significativa da internet.
A vulnerabilidade reside em um buffer overflow no módulo ngx_http_rewrite_module. O problema surge ao usar as diretivas rewrite e set, uma configuração comum em gateways de API e reverse proxies. A causa raiz é o tratamento incorreto do estado no mecanismo de script interno do NGINX. O servidor calcula o tamanho do buffer para os dados e, em seguida, copia o conteúdo. No entanto, um flag especial, is_args, permanece ativo após o processamento do caractere “?”, levando o NGINX a avaliar incorretamente a quantidade de memória. Como resultado, a quantidade de dados gravados excede o tamanho do buffer alocado, resultando em um heap overflow.
Além disso, os pesquisadores demonstraram um PoC (Proof of Concept) exploit que permite a execução remota de código sem autenticação. Para isso, eles enviaram requisições HTTP especialmente preparadas, danificando as estruturas de memória do NGINX e forçando o servidor a chamar system() durante a limpeza do pool de memória. No entanto, os especialistas enfatizam que a execução remota de código completa só foi alcançada em um sistema com proteção ASLR desativada. Essa tecnologia geralmente está ativada por padrão, mas às vezes é desativada para melhorar o desempenho. Além da CVE-2026-42945, os pesquisadores descobriram mais três bugs relacionados à corrupção de memória, incluindo CVE-2026-42946, CVE-2026-40701 e CVE-2026-42934. A F5 já lançou patches. As correções estão disponíveis no NGINX Open Source 1.31.0 e 1.30.1, bem como no NGINX Plus R36 P4 e R32 P6. O boletim de segurança da empresa também observa que as vulnerabilidades afetaram não apenas o NGINX, mas também produtos relacionados, incluindo NGINX Ingress Controller, NGINX App Protect WAF e F5 DoS for NGINX. Vale ressaltar que nem todos os especialistas concordam que a exploração real desse problema é simples. Por exemplo, o conhecido pesquisador de segurança Kevin Beaumont escreve que o PoC publicado funciona apenas com uma configuração específica do NGINX e ASLR desativado. Os desenvolvedores do AlmaLinux mantêm uma posição semelhante: segundo eles, organizar um RCE estável em sistemas protegidos “não é tão fácil”.
