当前位置:首页 > 文章 > 0day

紧急!全球 1/3 服务器中招:NGINX 漏洞应急与缓解指南

admin3周前 (06-23)0day38
摘要:漏洞编号:CVE-2026-42945    - 严重程度:🔴 Critical (9.2) / High (8.1)    - 影响组件:ngx_http_rewrite_module (NGINX Open Source & Plus)…

   

   - 漏洞编号:CVE-2026-42945
   - 严重程度:🔴 Critical (9.2) / High (8.1)
   - 影响组件:ngx_http_rewrite_module (NGINX Open Source & Plus)
   - 威胁等级:极高(无需认证即可触发 DoS,影响全球约 33% 网站)    

   

二、 紧急影响面排查

   

   如果您正在运行 NGINX,请立即检查是否命中以下任一条件:    

   

   1. 版本检查:
   - NGINX Open Source: 0.6.271.30.0 均受影响。
   - NGINX Plus: R32R36 均受影响。    

   

   2. 配置检查:
   在 nginx.conf 中搜索同时包含 未命名正则捕获($1, $2)和问号(?)的 rewrite 规则。    

   

三、 缓解与修复方案

   

   ✅ 方案 A:官方升级(推荐)
   这是最安全、彻底的做法。    

   

   - NGINX Open Source: 升级至 1.31.01.30.1
   - NGINX Plus: 升级至 R36 P4R32 P6    

   

   ⚠️ 注意:升级后必须重启 NGINX 服务以加载修复后的二进制文件。    

   

   🚑 方案 B:临时缓解(无法立即停机升级时)
   如果业务暂不可中断,F5 官方提供了一项配置级别的缓解措施:使用命名捕获(Named Captures)替换未命名捕获。    

   

   原理:命名捕获(如 (?.*))在 NGINX 内部走的是不同的代码路径,从而完美避开该漏洞的触发条件。    

   

# 修改前(危险)rewrite ^/api/(.*)$ /proxy?url=$1  last;

set $target $1;

# 修改后(安全)rewrite ^/api/(?<myname>.*)$ /proxy?url=$myname  last;

set $target $myname;    

扫描二维码推送至手机访问。

版权声明:本文由日常随记发布,如需转载请注明出处。

本文链接:https://www.7x0.cn/post/31.html

“紧急!全球 1/3 服务器中招:NGINX 漏洞应急与缓解指南” 的相关文章

紧急预警:iPhone 曝高危漏洞,黑客已实际攻击!

紧急预警:iPhone 曝高危漏洞,黑客已实际攻击!

近日,苹果官网紧急发布安全公告,正式确认两款高危 WebKit 漏洞(编号 CVE-2025-43529 与 CVE-2025-14174)存在严重安全隐患——目前这两个漏洞已被黑客主动利用,且已有用户遭遇攻击。…

CVE-2026-22200:osTicket工单直通系统Shell的漏洞剖析

CVE-2026-22200:osTicket工单直通系统Shell的漏洞剖析

    Horizon3.ai的研究团队在流行的开源服务台系统osTicket中发现了一个受CTF启发、编号为CVE-2026-22200的安全漏洞。该漏洞允许匿名攻击者通过向工单中注入恶意的PHP过滤器链表达式,然后将工单导出为PDF文档,从而读取服务器上的任意文件。攻击者可以…

飞牛系统(fnOS)任意文件读取漏洞 附POC

飞牛系统(fnOS)任意文件读取漏洞 附POC

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后…

泛微E-Mobile 远程命令执行漏洞(RCE)附POC

泛微E-Mobile 远程命令执行漏洞(RCE)附POC

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。…

Fastadmin框架任意文件读取漏洞 附POC

Fastadmin框架任意文件读取漏洞 附POC

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。…