Стежити 
Помилки у веб-інфраструктурі залишаються особливо небезпечними, коли вони знаходяться в широко розгорнутій логіці обробки запитів протягом багатьох років без виявлення. Серед останніх вразливостей, що вражають NGINX Plus і NGINX Open, вразливість CVE-2026-42945 виділяється як старий 18 років переповнення буфера в купі модуля ngx_http_rewrite_module, який може бути досягнутий неавторизованим зловмисником через спеціально сформовані HTTP-запити і може призвести до відмови в обслуговуванні або, в певних випадках, віддаленого виконання коду. У публічних звітах наводиться CVSS v4 бал 9.2 і звертається на проблему як NGINX Rift.
З точки зору захисника, найважливішими деталями для CVE-2026-42945 є уражена конфігураційна схема та маршрут патча. Публічний аналіз CVE-2026-42945 показує, що вада виставляється, коли директива переписування використовує неназваний улов PCRE, наприклад, $1 або $2, включає рядок заміни з питанням і за нею слідує інша переписка, if або set директива в тій самій області.
Аналіз CVE-2026-42945
На технічному рівні, вразливість у CVE-2026-42945 викликана непослідовною логікою екранування в переписувальному двигуні. Depthfirst пояснює, що NGINX обчислює довжину буфера призначення під одним набором припущень і потім копіює дані під іншим, так що байти, отримані з URI, контрольованого зловмисником, можуть перейти за межі виділеного буфера в купі в робочому процесі.
На практиці, публічний заряд CVE-2026-42945 не є скинутим бінарним або скриптом, а спеціально сформованим HTTP-запитом, який досягає уразливого правила переписування і викликає детерміноване порушення купи. F5 стверджує, що це може перезавантажити робочий процес, тоді як публічні звіти додають, що виконання коду також може бути можливим, особливо на системах, де ASLR відключено.
Розголошення є примітним, тому що технічний опис і пояснення основної причини були випущені разом з консультацією, і depthfirst явно стверджує, що його повний аналіз включає POC CVE-2026-42945 і огляд патча. Водночас, матеріали постачальника і дослідника свідчать, що вони не знали про експлуатацію на момент розголошення.
Вразливість є широкою, оскільки CVE-2026-42945 вражає NGINX Open Source версії від 0.6.27 до 1.30.0 та NGINX Plus R32 до R36. Сторінка консультацій з безпеки nginx також містить додаткові уражені продукти F5 та NGINX, побудовані на тій самій кодовій базі, тоді як виправлені випуски з відкритим кодом є 1.30.1 та 1.31.0.
Пом’якшення CVE-2026-42945
Пріоритетом для пом’якшення CVE-2026-42945 є оновлення до виправленого випуску. Для NGINX Open Source це означає перехід на 1.30.1 або 1.31.0. Для NGINX Plus виправлення було введено в R32 P6 та R36 P4. Depthfirst також рекомендує перезавантажити NGINX після оновлення, щоб робочі процеси перезавантажили виправлений бінарний файл.
Щоб виявити вразливість CVE-2026-42945, захисники повинні переглянути конфігурації NGINX щодо директив переписування, що поєднують неназвані улови з рядком заміни, що містить ?, за якими слідує переписка, if або set в тій самій області. Це найбільш практичний початок для виявлення CVE-2026-42945, тому що вада залежить від специфічної і поширеної конфігураційної схеми, а не просто від присутності NGINX.
Якщо негайний патчинг неможливий, F5 і depthfirst обидва радять замінити неназвані улови, такі як $1 і $2, на названі улови в кожній ураженій директиві переписування. У наведених матеріалах немає опублікованих постачальниками iocs CVE-2026-42945, тому захисники повинні зосередитися на інвентаризації версій, перегляді конфігурацій, несподіваних перезапусках робочих процесів і підозрілих патернах HTTP-запитів, які досягають уразливої логіки переписування.
FAQ
Що таке CVE-2026-42945 і як він працює?
CVE-2026-42945 є переповненням буфера в купі модуля ngx_http_rewrite_module NGINX. Він викликається певною схемою правил переписування, що включає неназвані улови регексів і рядок заміни, що містить знак питання, що може спричинити переповнення даних URI, контрольованих зловмисником, в купі робочого процесу.
Коли CVE-2026-42945 був вперше виявлений?
Публічні звіти стверджують, що проблема була відповідально розкрита 21 квітня 2026 року, а depthfirst стверджує, що F5 підтвердив, виправив і опублікував скоординоване попередження 13 травня 2026 року.
Який вплив CVE-2026-42945 на системи?
Негайним впливом є відмова в обслуговуванні через збої або цикли перезапуску процесу робочого. За сприятливих умов, публічні звіти і матеріали дослідників стверджують, що вада також може дозволити віддалене виконання коду у робочому процесі NGINX.
Чи може CVE-2026-42945 все ще впливати на мене у 2026 році?
Так. Системи можуть усе ще бути піддаються у 2026 році, якщо вони запускають уразливі версії NGINX і використовують уражену конфігураційну схему переписування, особливо якщо вони ще не були оновлені до 1.30.1, 1.31.0 або відповідної виправленої збірки NGINX Plus.
Як я можу захиститися від CVE-2026-42945?
Оновіть до виправленого випуску, перезавантажте NGINX після виправлення та перевірте правила переписування на предмет неназваних уловів, за якими слідує переписка, if або set, коли рядок заміни містить ?. Якщо відкладення патчування необхідно, замініть неназвані улови на названі улови як тимчасове рішення.
