Los investigadores de ciberseguridad han revelado múltiples vulnerabilidades de seguridad que afectan a NGINX Plus y NGINX Open, incluida una falla crítica que no se detectó durante 18 años.
La vulnerabilidad, descubierta por Depthfirst, es un problema de desbordamiento del búfer de montón que afecta a ngx_http_rewrite_module (CVE-2026-42945, puntuación CVSS v4: 9.2) y que podría permitir a un atacante lograr la ejecución remota de código o provocar una denegación de servicio (DoS) con solicitudes manipuladas. ha sido nombrado en clave Grieta NGINX.
“NGINX Plus y NGINX Open Source tienen una vulnerabilidad en el módulo ngx_http_rewrite_module”, dijo F5 en un aviso publicado el miércoles. “Esta vulnerabilidad existe cuando la directiva de reescritura va seguida de una directiva de reescritura, if o set y una captura de expresión regular compatible con Perl (PCRE) sin nombre (por ejemplo, $1, $2) con una cadena de reemplazo que incluye un signo de interrogación (?)”.
“Un atacante no autenticado, junto con condiciones fuera de su control, puede explotar esta vulnerabilidad enviando solicitudes HTTP diseñadas. Esto puede causar un desbordamiento del búfer en el proceso de trabajo de NGINX, lo que lleva a un reinicio. Además, para sistemas con la aleatorización del diseño del espacio de direcciones (ASLR) deshabilitada, la ejecución de código es posible”.
El problema se ha abordado en las siguientes versiones después de la divulgación responsable el 21 de abril de 2026:
- NGINX Plus R32 – R36 (Correcciones introducidas en R32 P6 y R36 P4)
- NGINX Open Source 1.0.0 – 1.30.0 (Correcciones introducidas en 1.30.1 y 1.31.0)
- NGINX Open Source 0.6.27 – 0.9.7 (No se planean correcciones)
- Administrador de instancias NGINX 2.16.0 – 2.21.1
- F5 WAF para NGINX 5.9.0 – 5.12.1
- Aplicación NGINX Protege WAF 4.9.0 – 4.16.0
- Aplicación NGINX Protege WAF 5.1.0 – 5.8.0
- F5 DoS para NGINX 4.8.0
- Aplicación NGINX Protege DoS 4.3.0 – 4.7.0
- Estructura de puerta de enlace NGINX 1.3.0 – 1.6.2
- Estructura de puerta de enlace NGINX 2.0.0 – 2.5.1
- Controlador de ingreso NGINX 3.5.0 – 3.7.2
- Controlador de ingreso NGINX 4.0.0 – 4.0.1
- Controlador de ingreso NGINX 5.0.0 – 5.4.1
En su propio aviso, Depthfirst dijo que la vulnerabilidad podría permitir que un atacante remoto y no autenticado corrompa el montón de un proceso de trabajo NGINX enviando un URI manipulado. Lo que hace que la vulnerabilidad sea grave es que se puede acceder a ella sin autenticación, puede usarse de manera confiable para desencadenar el desbordamiento del montón y puede conducir a la ejecución remota de código en el proceso de trabajo de NGINX.
“Un atacante que puede llegar a un servidor NGINX vulnerable a través de HTTP puede enviar una única solicitud que desborda el montón en el proceso de trabajo y logra la ejecución remota de código”, dijo Depthfirst. “No existe ningún paso de autenticación, ningún requisito de acceso previo y no es necesaria una sesión existente”.
“Los bytes escritos más allá de la asignación se derivan del URI del atacante, por lo que la corrupción la determina el atacante en lugar de ser aleatoria. Las solicitudes repetidas también se pueden usar para mantener a los trabajadores en un bucle de fallas y degradar la disponibilidad de cada sitio atendido por la instancia”.
También se parchearon en NGINX Plus y NGINX Open Source otras tres fallas:
- CVE-2026-42946 (Puntuación CVSS v4: 8.3): una vulnerabilidad de asignación de memoria excesiva en los módulos ngx_http_scgi_module y ngx_http_uwsgi_module que podría permitir a un atacante remoto no autenticado con capacidades de adversario en el medio (AitM) controlar las respuestas de un servidor ascendente para leer la memoria del proceso de trabajo NGINX o reiniciarlo cuando se configura scgi_pass o uwsgi_pass.
- CVE-2026-40701 (Puntuación CVSS v4: 6.3): una vulnerabilidad de uso después de la liberación en el módulo ngx_http_ssl_module que podría permitir que un atacante remoto no autenticado tenga un control limitado de la modificación de datos o reinicie el proceso de trabajo NGINX cuando la directiva ssl_verify_client está configurada en “activada” u “opcional” y la directiva ssl_ocsp está configurada en “activada”.
- CVE-2026-42934 (Puntuación CVSS v4: 6.3): una vulnerabilidad de lectura fuera de límites en el módulo ngx_http_charset_module que podría permitir que un atacante remoto no autenticado revele el contenido de la memoria o reinicie el proceso de trabajo de NGINX cuando se configuran las directivas charset, source_charset, charset_map y proxy_pass con el almacenamiento en búfer deshabilitado (“off”).
Se recomienda a los usuarios que apliquen las últimas versiones para una protección óptima. Si el parche inmediato no es una opción para CVE-2026-42945, se recomienda a los usuarios cambiar la configuración de reescritura reemplazando capturas sin nombre con capturas con nombre en cada directiva de reescritura afectada.
