Los investigadores de ciberseguridad han descubierto múltiples vulnerabilidades de seguridad que afectan a NGINX Plus y NGINX Open, incluida una falla crítica que no se detectó durante 18 años.
Esta vulnerabilidad, descubierta por DepthFirst, es un problema de desbordamiento del búfer de montón que afecta a ngx_http_rewrite_module (CVE-2026-42945, puntuación CVSS v4: 9.2) y que podría permitir a un atacante ejecutar código remoto o provocar una denegación de servicio (DoS) a través de una solicitud diseñada. El nombre en clave es NGINX Rift.
«NGINX Plus y NGINX Open Source tienen una vulnerabilidad en el módulo ngx_http_rewrite_module», dijo F5 en un aviso publicado el miércoles. «Esta vulnerabilidad existe cuando una directiva de reescritura va seguida de una directiva de reescritura, if o set seguida de una captura de expresión regular compatible con Perl (PCRE) sin nombre ($1, $2, etc.) con una cadena de sustitución que contiene un signo de interrogación (?)».
«Un atacante no autenticado podría explotar esta vulnerabilidad enviando una solicitud HTTP diseñada con condiciones incontrolables. Esto podría provocar un desbordamiento del búfer en el proceso de trabajo de NGINX, lo que podría provocar un reinicio. Además, podría provocar la ejecución de código en sistemas donde la aleatorización del diseño del espacio de direcciones (ASLR) está deshabilitada».
Este problema se resolvió en la siguiente versión después de la divulgación responsable el 21 de abril de 2026.
NGINX Plus R32 – R36 (correcciones introducidas en R32 P6 y R36 P4) NGINX Open Source 1.0.0 – 1.30.0 (correcciones introducidas en 1.30.1 y 1.31.0) NGINX Open Source 0.6.27 – 0.9.7 (no hay correcciones planificadas) NGINX Instance Manager 2.16.0 – 2.21.1 F5 WAF para NGINX 5.9.0 – 5.12.1 NGINX App Protect WAF 4.9.0 – 4.16.0 NGINX App Protect WAF 5.1.0 – 5.8.0 F5 DoS para NGINX 4.8.0 NGINX App Protect DoS 4.3.0 – 4.7.0 NGINX Gateway Fabric 1.3.0 – 1.6.2 NGINX Gateway Fabric 2.0.0 – 2.5.1 Controlador de ingreso NGINX 3.5.0 – 3.7.2 Controlador de ingreso NGINX 4.0.0 – 4.0.1 Controlador de ingreso NGINX 5.0.0 – 5.4.1
DepthFirst dijo en su propio aviso que la vulnerabilidad podría permitir que un atacante remoto no autenticado corrompa el montón de un proceso de trabajo NGINX enviando un URI manipulado. La gravedad de esta vulnerabilidad es que se puede acceder a ella sin autenticación y se puede utilizar de forma segura para provocar un desbordamiento del montón, lo que podría provocar la ejecución remota de código en el proceso de trabajo de NGINX.
«Un atacante con acceso a un servidor NGINX vulnerable a través de HTTP podría enviar una única solicitud que desborda el montón de un proceso de trabajo y potencialmente ejecutar código remoto», dijo Depthfirst. «No hay pasos de autenticación ni requisitos de acceso previo, y no se requiere ninguna sesión existente».
«Los bytes escritos más allá de la cuota se derivan del URI del atacante, por lo que la corrupción no es aleatoria sino que la crea el atacante. Las solicitudes repetidas también se pueden utilizar para forzar al trabajador a entrar en un bucle de bloqueo y reducir la disponibilidad de todos los sitios atendidos por la instancia».
Se han corregido otras tres fallas en NGINX Plus y NGINX Open Source.
CVE-2026-42946 (puntuación CVSS v4: 8,3): vulnerabilidad de asignación excesiva de memoria en los módulos ngx_http_scgi_module y ngx_http_uwsgi_module permite que un atacante remoto no autenticado con capacidades de intermediario adversario (AitM) controle las respuestas de un servidor ascendente, lo que permite que un trabajador NGINX pueda leer la memoria del proceso. o reiniciarlo. scgi_pass o uwsgi_pass están configurados. CVE-2026-40701 (Puntuación CVSS v4: 6.3): existe una vulnerabilidad de uso después de la liberación en el módulo ngx_http_ssl_module cuando la directiva ssl_verify_client está configurada como ‘activada’ u ‘opcional’ y ssl_ocsp si la directiva está configurada, un atacante remoto no autenticado podría obtener un control limitado sobre la modificación de datos o el reinicio del proceso de trabajo NGINX. Encender». CVE-2026-42934 (Puntuación CVSS v4: 6.3): una vulnerabilidad de lectura fuera de límites en el módulo ngx_http_charset_module permite que un atacante remoto no autenticado revele el contenido de la memoria o acceda a la memoria. Es posible que deba reiniciar el proceso.
Recomendamos aplicar la última versión para una protección óptima. Si el parche inmediato para CVE-2026-42945 no es una opción, le recomendamos que modifique su configuración de reescritura reemplazando capturas sin nombre con capturas con nombre en todas las directivas de reescritura afectadas.
Source link
