팔로우 
웹 인프라 버그는 수년간 감지되지 않고 널리 배포된 요청 처리 로직에 존재할 때 특히 위험합니다. 최근 NGINX Plus와 NGINX Open에 영향을 미치는 취약점 중, CVE-2026-42945 취약점은 인증되지 않은 공격자가 조작된 HTTP 요청을 통해 접근할 수 있는 18년 된 ngx_http_rewrite_module의 힙 버퍼 오버플로로, 서비스 거부 또는 일부 경우 원격 코드 실행을 유발할 수 있습니다. 공개된 보고에 따르면 CVSS v4 점수는 9.2로, 이 문제를 NGINX Rift라고 지칭합니다.
방어자의 관점에서 CVE-2026-42945에 대한 가장 중요한 세부 사항은 영향을 받는 구성 패턴과 패치 경로입니다. 공개된 CVE-2026-42945 분석에 따르면, 이 결함은 $1 또는 $2와 같은 이름 없는 PCRE 캡처를 사용하고, 물음표가 포함된 대체 문자열을 포함하며 같은 범위 내에서 또 다른 rewrite, if, 또는 set 지시문이 뒤따를 때 노출됩니다.
CVE-2026-42945 분석
기술적 수준에서 CVE-2026-42945의 취약점은 rewrite 엔진의 일관되지 않은 이스케이프 로직에 의해 발생합니다. Depthfirst는 NGINX가 하나의 가정을 기반으로 목적지 버퍼 길이를 계산한 후 다른 가정으로 데이터를 복사하기 때문에, 공격자가 제어하는 URI에서 파생된 바이트가 워커 프로세스의 할당된 힙 버퍼를 넘길 수 있다고 설명합니다.
실질적으로 공개된 CVE-2026-42945 페이로드는 드롭된 이진 파일이나 스크립트가 아닌, 취약한 rewrite 규칙에 도달하여 결정론적 힙 손상을 유발하는 특수 제작된 HTTP 요청입니다. F5는 이것이 워커 프로세스를 재시작할 수 있다고 말하며, 공개 보고는 특히 ASLR이 비활성화된 시스템에서 코드 실행이 가능할 수도 있다고 덧붙입니다.
이 공지는 기술적 설명서와 근본 원인 설명이 권고와 함께 공개되었다는 점에서 주목할 만하며, Depthfirst는 자세한 분석에는 CVE-2026-42945의 포아크 및 패치 워크스루가 포함되어 있다고 명시합니다. 동시에, 공급업체와 연구 자료는 공지가 있을 때 공개적으로 악용된 사례는 알지 못했다고 명시하고 있습니다.
노출 범위가 넓은 이유는 CVE-2026-42945가 NGINX Open Source 버전 0.6.27부터 1.30.0까지와 NGINX Plus R32부터 R36까지에 영향을 미치기 때문입니다. Nginx 보안 권고 페이지에는 동일한 코드베이스를 기반으로 구축된 추가적으로 영향을 받는 F5 및 NGINX 제품들이 나열되어 있으며, 수정된 오픈 소스 릴리스는 1.30.1 및 1.31.0입니다.
CVE-2026-42945 완화
CVE-2026-42945 완화의 우선순위는 수정된 릴리스로 업그레이드하는 것입니다. NGINX Open Source의 경우 1.30.1 또는 1.31.0으로 이동하는 것이고, NGINX Plus의 경우 R32 P6 및 R36 P4에서 수정이 도입되었습니다. Depthfirst는 또한 업그레이드 후에 NGINX를 재시작하여 워커 프로세스가 패치된 바이너리를 로드하도록 권장합니다.
CVE-2026-42945 노출을 탐지하려면 방어자는 이름 없는 캡처와 물음표를 포함한 대체 문자열을 결합한 rewrite 지시문을 NGINX 구성에서 검토해야 합니다. 이는 같은 범위 내에서 rewrite, if 또는 set이 뒤따르는 경우에 주목해야 합니다. 이 구성은 단순히 NGINX의 존재만으로는 결함 의존성을 충족하지 않기 때문에, CVE-2026-42945 탐지의 가장 실용적인 시작점입니다.
즉각적인 패치가 불가능한 경우, F5와 Depthfirst는 모든 영향을 받는 rewrite 지시문에서 $1 및 $2와 같은 이름 없는 캡처를 이름 붙인 캡처로 교체할 것을 권장합니다. 인용된 자료에는 벤더가 발행한 CVE-2026-42945 iocs가 없으므로, 방어자는 버전 인벤토리, 구성 검토, 예상치 못한 워커 재시작 및 취약한 rewrite 로직을 노린 의심스러운 HTTP 요청 패턴에 집중해야 합니다.
FAQ
CVE-2026-42945란 무엇이며 어떻게 작동하나요?
CVE-2026-42945는 NGINX의 ngx_http_rewrite_module에서 발생하는 힙 버퍼 오버플로입니다. 이는 이름 없는 정규식 캡처와 물음표가 포함된 대체 문자열을 포함하는 특정 rewrite-규칙 패턴에 의해 트리거되며, 공격자가 제어하는 URI 데이터가 워커 프로세스 힙을 오버플로할 수 있습니다.
CVE-2026-42945가 처음 발견된 시기는 언제입니까?
공개 보고에 따르면 이 문제는 2026년 4월 21일에 책임적으로 공개되었으며, Depthfirst는 F5가 이를 확인하고 패치했으며, 2026년 5월 13일에 조정된 권고를 발표했다고 말합니다.
CVE-2026-42945가 시스템에 미치는 영향은 무엇입니까?
즉각적인 영향은 워커 프로세스의 충돌이나 재시작 루프를 통해 서비스 거부입니다. 추가 유리한 조건에서, 공개 보고 및 연구 자료는 이 버그가 NGINX 워커 프로세스에서 원격 코드 실행을 가능하게 할 수도 있다고 말합니다.
2026년에도 CVE-2026-42945가 여전히 영향을 미칠 수 있습니까?
네. 2026년에도 취약한 NGINX 버전을 실행하고 영향을 받는 rewrite 구성 패턴을 사용하는 시스템은 여전히 노출될 수 있습니다. 특히 1.30.1, 1.31.0 또는 관련 수정된 NGINX Plus 빌드로 아직 업그레이드되지 않은 경우 더욱 그렇습니다.
CVE-2026-42945로부터 자신을 어떻게 보호할 수 있습니까?
수정된 릴리스로 업그레이드하고, 패치 후 NGINX를 재시작하며, 대체 문자열에 ?가 포함되어 있을 때 rewrite, if, 또는 set 뒤에 오는 이름 없는 캡처를 위한 rewrite 규칙을 감사합니다. 패치를 지연해야 한다면, 이름 없는 캡처를 임시 해결책으로 이름 붙인 캡처로 교체하세요.
