Pesquisadores divulgaram uma vulnerabilidade crítica no NGINX que permaneceu oculta por aproximadamente 18 anos e pode permitir execução remota de código (RCE) sem autenticação em servidores vulneráveis.

A falha, identificada como CVE-2026-42945 e apelidada de “NGINX Rift”, afeta o módulo ngx_http_rewrite_module presente tanto no NGINX Open Source quanto no NGINX Plus. Segundo os pesquisadores da depthfirst, responsáveis pela descoberta, o problema possui pontuação CVSS v4 de 9.2 e pode ser explorado remotamente através de uma única requisição HTTP especialmente manipulada.

O bug é classificado como um heap buffer overflow, condição em que dados gravados além do limite previsto na memória podem corromper estruturas internas do processo afetado. Em cenários específicos, isso pode resultar em execução arbitrária de código no processo worker do NGINX ou provocar falhas contínuas de disponibilidade.

De acordo com a F5, a vulnerabilidade ocorre quando a diretiva rewrite é utilizada em combinação com outras diretivas como rewrite, if ou set, além do uso de capturas PCRE não nomeadas — como $1 e $2 — em strings de substituição contendo o caractere “?”.

A exploração acontece através do envio de URIs maliciosas para o servidor vulnerável. Como o ataque não exige autenticação, sessão ativa ou acesso prévio ao ambiente, a superfície de risco é considerada extremamente elevada, especialmente em infraestruturas expostas diretamente à internet.

Segundo os pesquisadores, os dados escritos além da região válida da memória são parcialmente controlados pelo invasor, permitindo manipular a corrupção da heap de forma previsível. Além do potencial de RCE, ataques repetidos também podem manter processos workers do NGINX em ciclos contínuos de crash, causando indisponibilidade para todos os sites hospedados na instância afetada.

A possibilidade de execução remota de código depende de alguns fatores adicionais, como a desativação do ASLR (Address Space Layout Randomization), mecanismo de proteção utilizado pelos sistemas operacionais modernos para dificultar exploração de memória. Mesmo assim, especialistas alertam que o risco continua crítico devido à facilidade de exploração e ao impacto operacional potencial.

O problema afeta diversas versões do ecossistema NGINX, incluindo NGINX Open Source, NGINX Plus, NGINX Ingress Controller, NGINX Gateway Fabric, App Protect WAF e soluções DoS da F5.

As correções foram disponibilizadas nas versões:

• NGINX Open Source 1.30.1 e 1.31.0

• NGINX Plus R32 P6 e R36 P4

Versões mais antigas entre 0.6.27 e 0.9.7 não receberão correções oficiais.

Além da CVE-2026-42945, a F5 também corrigiu outras três vulnerabilidades relevantes no NGINX:

• CVE-2026-42946: falha de alocação excessiva de memória nos módulos SCGI e UWSGI que pode permitir leitura de memória ou reinicialização do worker process.

• CVE-2026-40701: vulnerabilidade use-after-free no módulo SSL que pode causar corrupção limitada de dados ou reinicialização do processo.

• CVE-2026-42934: falha out-of-bounds read que pode expor conteúdos da memória do servidor.

A recomendação oficial é que administradores atualizem imediatamente para as versões corrigidas. Nos casos em que a aplicação do patch não seja possível no curto prazo, a orientação é modificar regras rewrite vulneráveis substituindo capturas não nomeadas por capturas nomeadas dentro das expressões regulares utilizadas na configuração.

O caso chama atenção não apenas pela gravidade técnica, mas também pelo tempo que a vulnerabilidade permaneceu invisível em um dos servidores web mais utilizados do mundo. O NGINX está presente em data centers, aplicações cloud, APIs, plataformas SaaS, Kubernetes Ingress Controllers e infraestruturas críticas amplamente expostas à internet.