🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma falha de 18 anos no servidor web de código aberto NGINX, descoberta usando um sistema de varredura autônomo, pode ser explorada para negação de serviço e, sob certas condições, execução remota de código.
A vulnerabilidade é rastreada como CVE-2026-42945 e recebeu uma classificação de gravidade crÃtica de 9,2, com base na versão mais recente do Common Vulnerability Scoring System (CVSS).
Mais três problemas de segurança de corrupção de memória foram descobertos na mesma sessão de verificação de código de seis horas por pesquisadores da empresa de segurança nativa de IA DepthFirst AI.
NGINX é um servidor web e plataforma de proxy reverso amplamente usado, alimentando um terço dos sites mais bem classificados. Ele pode equilibrar a carga com eficiência, distribuindo o tráfego de rede de entrada para vários servidores back-end e reduzir o tempo de carregamento armazenando conteúdo em cache.
De propriedade e mantido pela empresa de tecnologia americana F5, o servidor web é usado por provedores de nuvem, empresas SaaS, bancos, plataformas de mÃdia, sites de comércio eletrônico e em clusters Kubernetes.
CVE-2026-42945 é um heap buffer overflow em ngx_http_rewrite_module que afeta as versões 0.6.27 a 1.30.0 do NGINX, que está no código do projeto há aproximadamente 18 anos.
De acordo com o DepthFirst, a vulnerabilidade pode ser acionada quando as configurações do NGINX usam as diretivas ‘rewrite’ e ‘set’, um padrão que os pesquisadores dizem ser comum em gateways de API e configurações de proxy reverso.
A falha decorre do tratamento inconsistente de estado no mecanismo de script interno do NGINX, que processa reescritas em duas etapas: uma para calcular a quantidade de memória a ser alocada e outra para copiar os dados reais.
Um sinalizador ‘is_args’ permanece definido após uma reescrita contendo ‘?’, fazendo com que o NGINX calcule o tamanho do buffer usando comprimentos de URI sem escape, mas posteriormente grave dados de escape maiores como ‘+’ e ‘&’, levando a um estouro de buffer de heap.
Os pesquisadores demonstraram a execução de código não autenticado por meio de solicitações HTTP especialmente criadas que corrompem estruturas adjacentes do pool de memória NGINX, sobrescrevem ponteiros do manipulador de limpeza, espalham estruturas falsas na memória por meio de corpos de solicitação POST e forçam o NGINX a executar ‘system()’ durante a limpeza do pool.
No entanto, a execução remota de código foi obtida em um sistema com a proteção ASLR (Address Space Layout Randomization) contra ataques baseados em memória desativada. Essa defesa fica ativa por padrão, mas pode ser desabilitada para aumentar o desempenho em alguns ambientes, como sistemas embarcados e máquinas virtuais utilizadas para análise.
DepthFirst observa que a arquitetura multiprocessos do NGINX facilita a exploração porque os processos de trabalho herdam layouts de memória quase idênticos do processo mestre, permitindo manipulação confiável de heap e tentativas repetidas se um trabalhador travar.
“Se nossa exploração falhar e travar um trabalhador, o processo mestre simplesmente gerará um novo com exatamente o mesmo layout de memória”, explicam os pesquisadores.
“Isso nos permite tentar várias vezes com segurança até obter sucesso, sem nos preocupar com o travamento do trabalhador e a alteração do layout da memória.”
“Teoricamente, poderÃamos aproveitar esse design para vazar ASLR (Address Space Layout Randomization) sobrescrevendo progressivamente os ponteiros byte por byte.”
As outras três falhas descobertas pelo DepthFirst receberam uma classificação de gravidade média:
CVE-2026-42946 — alocação excessiva de memória em módulos SCGI/UWSGI que podem travar trabalhadores por meio de alocações de aproximadamente 1 TB (alta gravidade)
CVE-2026-40701 — use-after-free no tratamento de resolução DNS OCSP assÃncrona (severidade média)
CVE-2026-42934 — bug de análise UTF-8 off-by-one causando leituras fora dos limites (severidade média)
Impacto e correções
As vulnerabilidades foram descobertas em 18 de abril de 2026 e relatadas ao fornecedor em 21 de abril.
De acordo com o comunicado de segurança da F5, divulgado ontem, as falhas impactam as seguintes compilações do NGINX:
Versões de código aberto NGINX 0.6.27 a 1.30.0
NGINX Plus R32 a R36
Gerenciador de instâncias NGINX 2.16.0 a 2.21.1
F5 WAF para NGINX 5.9.0 a 5.12.1
NGINX App Protect WAF 4.9.0 a 4.16.0 e 5.1.0 a 5.8.0
F5 DoS para NGINX 4.8.0
Aplicativo NGINX protege DoS 4.3.0 a 4.7.0
NGINX Gateway Fabric 1.3.0 a 1.6.2 e 2.0.0 a 2.5.1
Controlador de ingresso NGINX 3.5.0 a 3.7.2, 4.0.0 a 4.0.1 e 5.0.0 a 5.4.1
As correções foram disponibilizadas no NGINX Open Source 1.31.0 e 1.30.1, NGINX Plus R36 P4 e NGINX Plus R32 P6.
Para aqueles que não conseguem atualizar, a F5 recomenda a substituição de grupos de captura PCRE sem nome ($1, $2, etc.) em regras vulneráveis de “reescrita” por capturas nomeadas, o que elimina o principal pré-requisito de exploração.
Explorabilidade no mundo real
Alguns pesquisadores de segurança rejeitaram as alegações de exploração do mundo real em torno do CVE-2026-42945, argumentando que a prova de conceito do DepthFirst depende de condições altamente especÃficas que normalmente não estão presentes em implantações padrão.
O pesquisador Kevin Beaumont observou que a exploração requer
A vulnerabilidade é rastreada como CVE-2026-42945 e recebeu uma classificação de gravidade crÃtica de 9,2, com base na versão mais recente do Common Vulnerability Scoring System (CVSS).
Mais três problemas de segurança de corrupção de memória foram descobertos na mesma sessão de verificação de código de seis horas por pesquisadores da empresa de segurança nativa de IA DepthFirst AI.
NGINX é um servidor web e plataforma de proxy reverso amplamente usado, alimentando um terço dos sites mais bem classificados. Ele pode equilibrar a carga com eficiência, distribuindo o tráfego de rede de entrada para vários servidores back-end e reduzir o tempo de carregamento armazenando conteúdo em cache.
De propriedade e mantido pela empresa de tecnologia americana F5, o servidor web é usado por provedores de nuvem, empresas SaaS, bancos, plataformas de mÃdia, sites de comércio eletrônico e em clusters Kubernetes.
CVE-2026-42945 é um heap buffer overflow em ngx_http_rewrite_module que afeta as versões 0.6.27 a 1.30.0 do NGINX, que está no código do projeto há aproximadamente 18 anos.
De acordo com o DepthFirst, a vulnerabilidade pode ser acionada quando as configurações do NGINX usam as diretivas ‘rewrite’ e ‘set’, um padrão que os pesquisadores dizem ser comum em gateways de API e configurações de proxy reverso.
A falha decorre do tratamento inconsistente de estado no mecanismo de script interno do NGINX, que processa reescritas em duas etapas: uma para calcular a quantidade de memória a ser alocada e outra para copiar os dados reais.
Um sinalizador ‘is_args’ permanece definido após uma reescrita contendo ‘?’, fazendo com que o NGINX calcule o tamanho do buffer usando comprimentos de URI sem escape, mas posteriormente grave dados de escape maiores como ‘+’ e ‘&’, levando a um estouro de buffer de heap.
Os pesquisadores demonstraram a execução de código não autenticado por meio de solicitações HTTP especialmente criadas que corrompem estruturas adjacentes do pool de memória NGINX, sobrescrevem ponteiros do manipulador de limpeza, espalham estruturas falsas na memória por meio de corpos de solicitação POST e forçam o NGINX a executar ‘system()’ durante a limpeza do pool.
No entanto, a execução remota de código foi obtida em um sistema com a proteção ASLR (Address Space Layout Randomization) contra ataques baseados em memória desativada. Essa defesa fica ativa por padrão, mas pode ser desabilitada para aumentar o desempenho em alguns ambientes, como sistemas embarcados e máquinas virtuais utilizadas para análise.
DepthFirst observa que a arquitetura multiprocessos do NGINX facilita a exploração porque os processos de trabalho herdam layouts de memória quase idênticos do processo mestre, permitindo manipulação confiável de heap e tentativas repetidas se um trabalhador travar.
“Se nossa exploração falhar e travar um trabalhador, o processo mestre simplesmente gerará um novo com exatamente o mesmo layout de memória”, explicam os pesquisadores.
“Isso nos permite tentar várias vezes com segurança até obter sucesso, sem nos preocupar com o travamento do trabalhador e a alteração do layout da memória.”
“Teoricamente, poderÃamos aproveitar esse design para vazar ASLR (Address Space Layout Randomization) sobrescrevendo progressivamente os ponteiros byte por byte.”
As outras três falhas descobertas pelo DepthFirst receberam uma classificação de gravidade média:
CVE-2026-42946 — alocação excessiva de memória em módulos SCGI/UWSGI que podem travar trabalhadores por meio de alocações de aproximadamente 1 TB (alta gravidade)
CVE-2026-40701 — use-after-free no tratamento de resolução DNS OCSP assÃncrona (severidade média)
CVE-2026-42934 — bug de análise UTF-8 off-by-one causando leituras fora dos limites (severidade média)
Impacto e correções
As vulnerabilidades foram descobertas em 18 de abril de 2026 e relatadas ao fornecedor em 21 de abril.
De acordo com o comunicado de segurança da F5, divulgado ontem, as falhas impactam as seguintes compilações do NGINX:
Versões de código aberto NGINX 0.6.27 a 1.30.0
NGINX Plus R32 a R36
Gerenciador de instâncias NGINX 2.16.0 a 2.21.1
F5 WAF para NGINX 5.9.0 a 5.12.1
NGINX App Protect WAF 4.9.0 a 4.16.0 e 5.1.0 a 5.8.0
F5 DoS para NGINX 4.8.0
Aplicativo NGINX protege DoS 4.3.0 a 4.7.0
NGINX Gateway Fabric 1.3.0 a 1.6.2 e 2.0.0 a 2.5.1
Controlador de ingresso NGINX 3.5.0 a 3.7.2, 4.0.0 a 4.0.1 e 5.0.0 a 5.4.1
As correções foram disponibilizadas no NGINX Open Source 1.31.0 e 1.30.1, NGINX Plus R36 P4 e NGINX Plus R32 P6.
Para aqueles que não conseguem atualizar, a F5 recomenda a substituição de grupos de captura PCRE sem nome ($1, $2, etc.) em regras vulneráveis de “reescrita” por capturas nomeadas, o que elimina o principal pré-requisito de exploração.
Explorabilidade no mundo real
Alguns pesquisadores de segurança rejeitaram as alegações de exploração do mundo real em torno do CVE-2026-42945, argumentando que a prova de conceito do DepthFirst depende de condições altamente especÃficas que normalmente não estão presentes em implantações padrão.
O pesquisador Kevin Beaumont observou que a exploração requer
#samirnews #samir #news #boletimtec #vulnerabilidade #nginx #de #18 #anos #permite #dos, #potencial #rce
🎉 Obrigado por acompanhar, até a próxima notÃcia!
Postar um comentário