🛑 全球互联网关键基础设施Nginx爆高危漏洞，2008年埋雷至今未修！

蓝点网刚刚爆料，攻击者仅需发送一条特制HTTP请求，即可实现远程代码执行（RCE）或服务崩溃。

受影响版本从 Nginx 0.6.27 到 1.30.0，整整影响了 18年！全球约1900万台暴露的Nginx服务器面临风险。

今天（2026年5月14日），蓝点网第一时间转发了这条重磅安全警报：Nginx 核心模块出现堆缓冲区溢出漏洞（CVE-2026-42945），官方已于昨天（5月13日）紧急发布修复版本。

这条漏洞不是小打小闹，它直接影响全球绝大多数Web服务器、反向代理、API网关和Kubernetes Ingress。

如果你正在使用Nginx，请立刻暂停手头工作，跟着本文一步步检查并升级！

一、漏洞到底有多严重？

漏洞编号：CVE-2026-42945（又名 NGINX Rift）  
影响模块：ngx_http_rewrite_module（重写模块，几乎所有生产环境都会用到）  
漏洞类型：堆缓冲区溢出（Heap Buffer Overflow）
引入时间：2008年（Nginx 0.6.27版本）  
受影响版本：0.6.27 ~ 1.30.0（含Nginx Plus R32~R36、所有衍生版）  
修复版本：1.30.1（Stable版） / 1.31.0（Mainline版） —— 2026年5月13日同步发布

官方描述：当 rewrite 指令后面紧跟 set、if 或另一个 rewrite 指令，且涉及以 ? 结尾的规则 + 未命名PCRE捕获组时，长度计算与实际内存拷贝不一致，导致堆溢出。

• 服务崩溃（DoS）
• 在无ASLR保护的系统上，可能实现远程代码执行（RCE），直接拿下服务器

F5官方虽标注Medium，但多家安全媒体按实际利用场景给出了 CVSS 9.2（高危） 评分。PoC已在GitHub公开，野外利用风险极高！

二、为什么这么多人中招？

• API路由转发
• 伪静态URL美化
• 参数重定向
• 老站迁移

典型中招配置示例（几乎所有人都写过类似代码）：

只要你的 nginx.conf 里同时出现 以 ? 结尾的 rewrite + 后续 set/if/rewrite 使用捕获，就极大概率受影响。

三、立即自查 + 升级指南（3分钟搞定）

步骤1：检查当前版本

步骤2：升级（强烈推荐官方源）

• Debian / Ubuntu
  ：

• CentOS / RHEL / Rocky / Alma
  ：

• 源码编译用户
  ：
• - Stable：https://nginx.org/en/download.html → nginx-1.30.1
• - Mainline：nginx-1.31.0

步骤3：验证升级

• 避免 rewrite 规则以 ? 结尾
• 将 set 指令提前到 rewrite 之前
• 但最彻底、最安全的办法还是立即升级！

四、这次更新还顺带修复了其他5个安全问题

• HTTP/2 请求注入（CVE-2026-42926）
• SCGI/UWSGI 模块缓冲区越界读取
• HTTP/3 地址伪造
• OCSP resolver use-after-free 等

升级一次，全部搞定！

五、给所有Nginx用户的几点安全建议

1. 定期关注官方安全公告：https://nginx.org/en/security_advisories.html
2. 最小化模块：不用 dav、mp4、mail 等模块就不要加载
3. 开启 WAF 或使用 Cloudflare / 阿里云等前置防护
4. 监控日志：重点关注异常 rewrite 相关的 400/502 错误
5. Nginx UI 用户额外注意：4月份的CVE-2026-33032已被主动利用，赶紧升级管理面板！

一句话总结：  
2008年埋下的雷，今天终于炸了。
别等被黑了才后悔，马上升级到 1.30.1 / 1.31.0 吧！

• 转发给你的运维/开发同事
• 看完立刻去检查服务

安全无小事，早升级早安心！

​

阅读原文：https://mp.weixin.qq.com/s/g_DltBygpvLBwC4Vnea4Yg