Seguir 
As falhas na infraestrutura da Web permanecem especialmente perigosas quando estão em lógica de manipulação de solicitações amplamente implementada por anos sem detecção. Entre as vulnerabilidades mais recentes que afetam o NGINX Plus e o NGINX Open, a vulnerabilidade CVE-2026-42945 destaca-se como um transbordamento de buffer heap de 18 anos no ngx_http_rewrite_module, que pode ser alcançado por um atacante não autenticado através de solicitações HTTP especialmente criadas e pode levar a uma negação de serviço ou, em alguns casos, à execução remota de código. Relatórios públicos citam uma pontuação CVSS v4 de 9,2 e referem-se à questão como NGINX Rift.
Do ponto de vista do defensor, os detalhes mais importantes para o CVE-2026-42945 são o padrão de configuração afetado e o caminho de correção. A análise pública do CVE-2026-42945 mostra que a falha é exposta quando uma diretiva de reescrita usa uma captura PCRE sem nome, como $1 ou $2, inclui uma string de substituição com um ponto de interrogação e é seguida por outra reescrita, se, ou diretiva set no mesmo escopo.
Análise do CVE-2026-42945
A nível técnico, a vulnerabilidade no CVE-2026-42945 é causada por uma lógica de escape inconsistente no mecanismo de reescrita. Depthfirst explica que o NGINX calcula o comprimento do buffer de destino sob um conjunto de suposições e depois copia os dados sob outro, permitindo que bytes derivados do URI controlado pelo atacante ultrapassem o buffer heap alocado no processo de trabalho.
Em termos práticos, o payload público do CVE-2026-42945 não é um binário ou script descarregado, mas uma solicitação HTTP especialmente criada que atinge uma regra de reescrita vulnerável e dispara a corrupção determinística do heap. A F5 diz que isso pode reiniciar o processo de trabalho, enquanto relatórios públicos acrescentam que a execução de código também pode ser possível, particularmente em sistemas onde o ASLR está desativado.
A divulgação é notável porque uma análise técnica e explicação da causa raiz foram lançadas juntamente com o aviso, e depthfirst afirma explicitamente que sua análise completa inclui um poc do CVE-2026-42945 e um guia de correção. Ao mesmo tempo, os materiais do fornecedor e do pesquisador afirmam que não estavam cientes da exploração em estado selvagem na divulgação.
A exposição é ampla porque o CVE-2026-42945 afeta as versões do NGINX Open Source de 0.6.27 a 1.30.0 e o NGINX Plus R32 a R36. A página de avisos de segurança do nginx também lista produtos F5 e NGINX adicionais afetados, construídos em torno da mesma base de código, enquanto as versões corrigidas de código-fonte aberto são 1.30.1 e 1.31.0.
Mitigação do CVE-2026-42945
A prioridade para a mitigação do CVE-2026-42945 é atualizar para uma versão corrigida. Para o NGINX Open Source, isso significa migrar para 1.30.1 ou 1.31.0. Para o NGINX Plus, as correções foram introduzidas no R32 P6 e R36 P4. Depthfirst também recomenda reiniciar o NGINX após a atualização para que os processos de trabalho recarreguem o binário corrigido.
Para detectar a exposição ao CVE-2026-42945, os defensores devem revisar as configurações do NGINX para diretivas de reescrita que combinam capturas sem nome com uma string de substituição contendo ?, seguido por rewrite, if, ou set no mesmo escopo. Este é o ponto de partida mais prático para a detecção do CVE-2026-42945, porque a falha depende de um padrão de configuração específico e comum, em vez de apenas a presença do NGINX.
Se não for possível aplicar imediatamente o patch, a F5 e depthfirst aconselham substituir capturas sem nome, como $1 e $2, por capturas nomeadas em cada diretiva de reescrita afetada. Não há iocs do CVE-2026-42945 publicados por fornecedores nos materiais citados, então os defensores devem se concentrar no inventário de versões, revisão de configuração, reinícios inesperados de processo de trabalho e padrões de solicitações HTTP suspeitas atingindo a lógica de reescrita vulnerável.
FAQ
O que é CVE-2026-42945 e como funciona?
CVE-2026-42945 é um transbordamento de buffer heap no ngx_http_rewrite_module do NGINX. Ele é acionado por um padrão específico de regra de reescrita que envolve capturas regex sem nome e uma string de substituição contendo um ponto de interrogação, que pode causar o transbordamento dos dados do URI controlados pelo atacante no heap do processo de trabalho.
Quando o CVE-2026-42945 foi descoberto pela primeira vez?
Relatórios públicos dizem que o problema foi divulgado de forma responsável em 21 de abril de 2026, e depthfirst diz que a F5 confirmou, corrigiu e publicou o aviso coordenado em 13 de maio de 2026.
Qual é o impacto do CVE-2026-42945 nos sistemas?
O impacto imediato é a negação de serviço através de falhas ou loops de reinício do processo de trabalho. Sob condições favoráveis adicionais, relatórios públicos e materiais de pesquisadores dizem que o bug também pode permitir a execução remota de código no processo de trabalho do NGINX.
O CVE-2026-42945 ainda pode me afetar em 2026?
Sim. Os sistemas ainda podem estar expostos em 2026 se executarem versões vulneráveis do NGINX e usarem o padrão de configuração de reescrita afetado, especialmente se ainda não foram atualizados para 1.30.1, 1.31.0 ou a versão corrigida relevante do NGINX Plus.
Como posso me proteger do CVE-2026-42945?
Atualize para uma versão corrigida, reinicie o NGINX após a aplicação do patch e audite as regras de reescrita para capturas sem nome seguidas por rewrite, if, ou set quando a string de substituição incluir ?. Se o patching precisar ser adiado, substitua as capturas sem nome por capturas nomeadas como uma solução temporária.
