NGINX 漏洞安全风险通告(飞牛fnOS不受该漏洞影响)
近期,收到NGINX ngx_http_rewrite_module 堆缓冲区溢出漏洞相关的安全风险,经安全团队确认,因飞牛未使用rewrite指令,同时有其他的混淆策略,因此不满足入侵的两个必要条件,该漏洞不影响飞牛官方的服务,无需对系统做任何处理。
但是若在自己的飞牛设备上使用自行安装Nginx服务(面板类应用可能存在独立的Nginx),或者在其他设备上使用Nginx,仍需要注意并进行处理。
漏洞编号 : QVD-2026-26347,CVE-2026-42945
风险等级: 高危
影响范围:
该漏洞影响自 0.6.27 至 1.30.0 的绝大部分 NGINX 版本,已在代码库中存在长达 18 年。1.0.0 <= NGINX Open Source <= 1.30.0
0.6.27 <= NGINX Open Source <= 0.9.7
R32 <= NGINX Plus < R32 P6
R36 <= NGINX Plus < R36 P4>>>>
其他受影响组件
2.16.0 <= NGINX Instance Manager <= 2.21.1
5.9.0 <= F5 WAF for NGINX <= 5.12.1
4.9.0 <= NGINX App Protect WAF <= 4.16.0
5.1.0 <= NGINX App Protect WAF <= 5.8.0
F5 DoS for NGINX 4.8.0
4.3.0 <= NGINX App Protect DoS <= 4.7.0
1.3.0 <= NGINX Gateway Fabric <= 1.6.2
2.0.0 <= NGINX Gateway Fabric <= 2.5.1
3.5.0 <= NGINX Ingress Controller <= 3.7.2
4.0.0 <= NGINX Ingress Controller <= 4.0.1
5.0.0 <= NGINX Ingress Controller <= 5.4.1
风险描述:
该漏洞源于NGINX处理特定 rewrite 指令时,由于内部标志位管理错误,导致堆缓冲区异常,从而引发堆缓冲区溢出。未经身份认证的攻击者可通过发送构造的 HTTP 请求触发漏洞,造成某些进程崩溃,在特定环境下还可实现远程代码执行。
当前状态:
NGINX 官方已发布修复
处置建议:
NGINX Open Source 用户应升级至 1.31.0 或 1.30.1
NGINX Plus 用户应升级至 R36 P4 或 R32 P6,升级后需重启服务使补丁生效。对于暂时无法升级的用户,可通过将配置中所有未命名捕获组($1、$2)替换为命名捕获组的方式规避触发条件。排查方法为:确认已安装的 NGINX 版本区间,并在配置文件中检索同时含有未命名捕获组与问号替换字符串的 rewrite 指令。
