Múltiplas Vulnerabilidades Críticas no NGINX

Publicado em 15/06/2026 12:08
Compartilhe:

Duas falhas de heap overflow no mesmo módulo. Correção disponível. Atualização imediata necessária.

ALERTA DE VULNERABILIDADE

Múltiplas Vulnerabilidades Críticas no NGINX — CVE-2026-42945 e CVE-2026-9256

Severidade: CRÍTICA. Duas falhas de heap overflow no mesmo módulo. Correção disponível. Atualização imediata necessária.

O servidor web NGINX, mantido pela F5 Networks e amplamente utilizado por órgãos do SISP, possui duas vulnerabilidades críticas de heap buffer overflow no módulo ngx_http_rewrite_module: CVE-2026-42945 (presente no código há 16 anos, exploração ativa confirmada) e CVE-2026-9256 ("nginx-poolslip", 18 anos no código, sem exploração ativa confirmada até a data deste alerta). Ambas permitem crash remoto garantido dos worker processes e potencial execução de código remoto (RCE) em sistemas com ASLR desabilitado (ASLR desabilitado reduz significativamente, mas não elimina o risco de RCE). Órgãos que atualizaram para 1.26.3 ou 1.27.5 corrigiram apenas a CVE-2026-42945 e continuam vulneráveis à CVE-2026-9256. A versão corrigida que cobre ambas as falhas é 1.30.2 (stable) ou 1.31.1 (mainline).

DESTINATÁRIOS

Órgãos e entidades do SISP que operam NGINX em qualquer versão entre 0.6.27 e 1.31.0, incluindo implantações como servidor web, proxy reverso, balanceador de carga ou API gateway, seja diretamente ou como componente embutido em soluções de terceiros. Inclui órgãos que já aplicaram a atualização para 1.26.3 ou 1.27.5 em resposta à CVE-2026-42945.

DESCRIÇÃO TÉCNICA

CVE-2026-42945 — Heap Buffer Overflow no ngx_http_rewrite_module (NGINX)

  • Tipo: CWE-122 — Heap-based Buffer Overflow.
  • Componente: módulo ngx_http_rewrite_module, presente e ativo por padrão.
  • Versões afetadas: 0.6.27 a 1.30.0.
  • Interação necessária: Nenhuma. Ataque totalmente remoto, sem autenticação prévia.
  • Patch Disponível. Cobertura completa: Versões 1.30.2 / 1.31.1.
  • Exploração ativa confirmada: SIM.

Mecanismo CVE-2026-42945:

Uma requisição HTTP especialmente construída aciona uma escrita fora dos limites no heap do processo worker via ngx_http_rewrite_module, causando crash imediato (DoS garantido). Em sistemas sem ASLR, a primitiva de escrita controlada viabiliza RCE.

CVE-2026-9256 ("nginx-poolslip") — Heap Buffer Overflow em PCRE Overlapping Captures

  • Tipo: CWE-122 — Heap-based Buffer Overflow via PCRE com capturas sobrepostas.
  • Componente: módulo ngx_http_rewrite_module, mesma área de código da CVE-2026-42945.
  • Versões afetadas: 0.1.17 a 1.31.0. Versões corrigidas: 1.30.2 (stable) e 1.31.1 (mainline).
  • Condição de acionamento: Requer configuração específica: diretiva rewrite com padrão regex que utilize grupos de captura aninhados (ex: ^/((.*))$) e string de substituição que referencie múltiplas capturas (ex: $1$2) em contexto de redirect ou arguments.
  • Interação necessária: Nenhuma. Ataque remoto, sem autenticação. Depende da configuração do servidor.
  • PATCH DISPONÍVEL. NGINX 1.30.2 (stable) e NGINX 1.31.1 (mainline).
  • Exploração ativa confirmada: NÃO — sem registro de exploração in-the-wild até a data deste alerta.

Mecanismo CVE-2026-9256:

Quando o NGINX processa uma requisição em contexto com diretivas rewrite configuradas com expressões regulares PCRE que possuem grupos de captura sobrepostos (por exemplo, ^/((.*))$) e a string de substituição referencia múltiplas dessas capturas (por exemplo, $1$2), ocorre uma operação de escrita em buffer de heap sem verificação adequada dos limites. O resultado é crash do worker process (DoS) e, desta forma gerando possibilidade de RCE.

Ambas as vulnerabilidades compartilham: mesmo componente (ngx_http_rewrite_module), mesma classe de bug (heap overflow), mesmo impacto máximo (RCE sem ASLR), mesma severidade CVSS v4.0 (9.2). A CVE-2026-9256 cobre uma faixa de versões mais ampla (inclui versões anteriores a 0.6.27) e exige versões corrigidas mais recentes.

Além de instalações diretas do NGINX, podem estar expostos: contêineres Docker e imagens baseadas em NGINX oficial; distribuições Linux com NGINX via gerenciador de pacotes; soluções de terceiros que embutem NGINX; Ingress Controllers Kubernetes baseados em NGINX.

IMPACTO

A exploração bem-sucedida de qualquer uma das falhas permite crash remoto dos worker processes do NGINX (DoS garantido) e, em sistemas com ASLR desabilitado, execução remota de código arbitrário. A CVE-2026-42945 tem exploração ativa confirmada com PoC público. A CVE-2026-9256, embora sem exploração ativa registrada, é tecnicamente mais abrangente (afeta versões anteriores a 0.6.27) e o código vulnerável persiste mesmo em instalações que já corrigiram a CVE-2026-42945 com 1.26.3 ou 1.27.5.

Impactos potenciais incluem:

  • Indisponibilidade de serviços web, portais e APIs dependentes do NGINX;
  • Execução remota de código no contexto do worker process em sistemas sem ASLR;
  • Comprometimento de dados em trânsito processados pelo NGINX (proxy, TLS termination);
  • Uso do servidor comprometido como ponto de pivô para movimentação lateral;
  • Persistência de exposição à CVE-2026-9256 em ambientes que já corrigiram a CVE-2026-42945 com versão insuficiente (1.26.3/1.27.5).

AÇÕES RECOMENDADAS

Ação imediata — cobertura de ambas as CVEs:

Atualizar para NGINX 1.30.2 (branch stable) ou NGINX 1.31.1 (branch mainline). Estas versões corrigem ambas as vulnerabilidades. Versões 1.26.3/1.27.5 corrigem apenas a CVE-2026-42945. Para contêineres Docker: atualizar imagem base para nginx:1.30.2-alpine ou equivalente e recriar. Para soluções de terceiros: verificar disponibilidade de atualização junto ao fabricante.

Inventário:

Levantar todos os ativos que executam NGINX, incluindo servidores físicos e virtuais, contêineres, Ingress Controllers Kubernetes e componentes embutidos. Verificar por instância: (a) versão instalada; (b) se ngx_http_rewrite_module está compilado; (c) se há diretivas rewrite, return ou set ativas; (d) especificamente para CVE-2026-9256: se há padrões regex com capturas PCRE sobrepostas nas diretivas de rewrite.

Investigação de comprometimento (CVE-2026-42945):

Revisar access.log e error.log em busca de crashes repetidos de worker processes, requisições com payloads incomuns em parâmetros processados por rewrite rules, e conexões de IPs externos gerando erros 500 ou respostas anômalas. Período de interesse: desde a divulgação pública da CVE-2026-42945 até a data de aplicação do patch. Acionar procedimentos de resposta a incidentes e comunicar o CISC GOV.BR caso sejam identificadas evidências de exploração.

Mitigação temporária (quando atualização imediata não for viável):

  • Verificar e habilitar ASLR no sistema operacional, mitiga parcialmente o risco de RCE, mas não elimina o DoS;
  • Para CVE-2026-9256: avaliar a simplificação de padrões regex nas diretivas rewrite, eliminando capturas PCRE sobrepostas desnecessárias;
  • Monitorar logs de acesso em busca de padrões anômalos em requisições que acionem diretivas de rewrite.

OBSERVAÇÕES

  • CVE-2026-42945: Exploração ativa confirmada. Presente no código há ~16 anos.
  • CVE-2026-9256: Versões corrigidas — 1.30.2 (stable) / 1.31.1 (mainline). Sem exploração ativa confirmada. Presente no código há ~18 anos.
  • Versão que cobre ambas: NGINX 1.30.2 (stable) ou NGINX 1.31.1 (mainline). Instalações em 1.26.3 ou 1.27.5 ainda vulneráveis à CVE-2026-9256.
  • Escopo comum: Ambas as falhas residem no ngx_http_rewrite_module, afetando qualquer implantação com este módulo compilado — presente na configuração padrão do NGINX.

REFERÊNCIAS

NGINX Security Advisories

https://nginx.org/en/security_advisories.html

NVD — CVE-2026-42945

https://nvd.nist.gov/vuln/detail/CVE-2026-42945

NVD — CVE-2026-9256

https://nvd.nist.gov/vuln/detail/CVE-2026-9256

Compartilhe: