关于Nginx ngx_http_rewrite_module缓冲区溢出漏洞（CVE-2026-42945）的预警通报

近日，工作发现最新漏洞威胁：Nginx ngx_http_rewrite_module缓冲区溢出漏洞CVE-2026-42945

在NGINX的ngx_http_rewrite_module模块中，一条rewrite指令后面紧接着另一条rewrite、if或set指令，且前一条rewrite规则使用了未命名的PCRE捕获组（例如$1、$2）同时其替换字符串中包含问号（?）时，处理逻辑存在缺陷。这导致未经认证的攻击者能够通过发送特制的HTTP请求，在NGINX工作进程中触发堆缓冲区溢出，进而引发进程重启，该漏洞还可能被进一步利用实现远程代码执行。

目前受影响的Nginx版本：        

0.6.27 ≤ Nginx Open Source < 1.30.1

R36 ≤ Nginx Plus < R36 P4

R32 ≤ Nginx Plus < R32 P6

官方已发布最新版本修复该漏洞，建议受影响用户将更新到最新版本。 参考链接：

https://my.f5.com/manage/s/article/K000161019

请各单位增强网络安全防护意识，立即排查产品使用情况，并督促指导受影响单位及时升级漏洞补丁，消除风险隐患。同时，加强网络安全监测,如发现遭攻击情况及时处置并报告。