2026年5月,旧金山AI初创公司depthfirst开发的AI安全分析系统,自主发现潜伏18年的NGINX高危漏洞CVE-2026-42945。该漏洞CVSS评分为9.2,属于严重级别,影响2008年以来发布的NGINX 0.6.27至1.30.0版本,波及全球近三分之一网站,攻击者可利用漏洞实现远程代码执行,目前NGINX官方已发布对应修复补丁。
作为全球应用最广的开源Web服务器软件之一,NGINX长期占据服务器市场30%以上的份额,国内大量互联网企业、政企站点也均有部署。此次曝出的CVE-2026-42945漏洞最早在2008年被引入代码库,直到18年后才被AI系统发现,其CVSS 9.2严重级的评分也印证了风险等级之高。
漏洞存在于NGINX核心的rewrite模块中,源于脚本引擎的两阶段处理机制缺陷,会引发堆缓冲区溢出,攻击者只需构造特定的请求包,即可触发漏洞实现远程代码执行(RCE),直接获得站点服务器的控制权限。目前NGINX官方已经推送紧急补丁,受影响用户可升级至开源版1.31.0、1.30.1或对应商业版NGINX Plus完成修复。
登录后解锁全文,体验收藏、点赞、评论等完整功能
立即登录