藏了 13 年的 NGINX “上古漏洞” 一个问号就能远程拿下你的服务器
NGINX中一个存在了13年的漏洞(CVE-2026-42945),攻击者只需要向暴露的 NGINX 服务器发送特定的 HTTP 请求就有可能远程拿下服务器,受影响版本从0.6.27到1.30.0(基本上去全覆盖了)
NGINX CVE-2026-42945 高危漏洞介绍
- NGINX官方原话是这样的
This vulnerability exists when the rewrite directive is followed by a rewrite, if, or set directive and an unnamed Perl-Compatible Regular Expression (PCRE) capture (for example, $1) with a replacement string that includes a question mark (?). An unauthenticated attacker along with conditions beyond its control can exploit this vulnerability by sending crafted HTTP requests.
- 翻译一下
NGINX Plus和NGINX开源版本的
ngx_http_rewrite_module模块存在安全漏洞。当rewrite指令后接另一条rewrite、if或set指令,且使用包含问号(?)的未命名Perl兼容正则表达式(PCRE)捕获组(例如$1)作为替换字符串时,可能触发此漏洞。未经身份验证的攻击者可通过发送特制HTTP请求,在满足特定外部条件时利用该漏洞,导致NGINX工作进程发生堆缓冲区溢出并引发服务重启。此外,在禁用地址空间布局随机化(ASLR)的系统中,攻击者可能实现代码执行。
三步排查你的服务器是否存在 NGINX CVE-2026-42945 漏洞
- 看下Nginx版本:
nginx -v如果返回的版本号低于1.30.1那基本就是带漏洞的版本了。 - 看下你的操作系统是否开启了地址空间布局随机化(ASLR):
cat /proc/sys/kernel/randomize_va_space如果结果是2就是开了内存空间随机化,这样遇到攻击 Nginx 会崩溃,而不是触发任意命令执行。 - 检查所有包含
?的rewrite指令,看看它们是否引用了$1,$2。
你可以用这个命令批量检索一下grep -rInP 'rewrite\s+.*\$[0-9].*\?|if\s+\(|set\s+\$' /etc/nginx/ /www/server/panel/vhost/nginx/ /usr/local/nginx/conf/ 2>/dev/null)
命令适配了系统原生,编译,宝塔面板的配置文件路径。
NGINX CVE-2026-42945 漏洞配置与攻击示例
漏洞背景
官方的漏洞说明有点绕口,说人话就是
当你的NGINX(以及基于NGINX的软件,比如NGINX WAF、F5 WAF)版本号在0.6.27~1.30.0之间。
满足以下条件时可能被触发:
- 配置里使用了
rewrite,且其后跟随另一个rewrite、if或set - 在替换字符串中使用未命名的
PCRE 捕获组(如 $1、$2) - 替换字符串中包含问号(
?)
攻击者可利用此漏洞通过特制 HTTP 请求触发堆缓冲区溢出,导致 NGINX 工作进程重启,如果没有 启用 ASLR 时则可能执行任意代码)。
示例配置(存在漏洞的配置段)
# 会触发 CVE-2026-42945 的高危配置
server {
listen 80;
server_name test.local;
location /vulnerable {
# 条件1: rewrite 指令,正则捕获路径部分,替换字符串包含 "?" 和 $1
rewrite ^/(\w+)/old$ /$1?new=1 break;
# 条件2: 紧跟另一个指令(这里用 if 示例,也可用 rewrite 或 set)
if ($arg_new = "1") {
set $flag "triggered";
}
return 200 "Config may be vulnerable";
}
}
- 正则
^/(\w+)/old$捕获了\w+作为$1。 - 替换字符串
/$1?new=1中同时包含$1和问号(?)。 - 后续紧跟了 if 指令。
攻击示例:
攻击者可能发送如下请求,通过精心构造的 $1值(如超长字符串)触发溢出:
GET /aaaaaaaa...(大量字符)...aaa/old HTTP/1.1
Host: test.local
如果系统关闭了 ASLR(地址空间布局随机化),攻击者只需要精心构造的 $1 内容,将恶意代码写入溢出的堆内存空间,就能实现执行任意命令。
如何修复 NGINX CVE-2026-42945 漏洞
升级版本
升级自然是最有效的解决方法。将 NGINX 升级到 1.31.0、1.30.1 或更高版本 (一般咱们用双数版本号的稳定版,当然单数的主线版也还行)
无法升级怎么办?
如果你因为这样那样的原因无法升级,比如你的系统版本很老了,新版Nginx无法安装等情况
那就想办法破坏漏洞触发的必要条件。修改一下逻辑(以上边的配置文件为例子):
方法 1:使用“命名捕获组”
因为漏洞仅针对 $1, $2 这种未命名变量。如果给捕获组起个名字,就规避溢出逻辑。
location /vulnerable {
# 将 (\w+) 改为 (?<my_path>\w+)
rewrite ^/(?<my_path>\w+)/old$ /$my_path?new=1 break;
if ($arg_new = "1") {
set $flag "triggered";
}
return 200 "Config is now safer";
}
方法 2:使用中间变量转存
也可以先通过 set 指令将捕获到的内容转存到一个自定义变量中。这样的话 rewrite 指令执行时,引用的就是一个命名后的普通的变量了。(不推荐啊,这样改工作量太大)
location /vulnerable {
# 1. 先用 if 或另一个 rewrite 捕获并存入自定义变量
if ($uri ~* "^/(?<temp_var>\w+)/old$") {
}
# 2. 引用的捕获组是 $temp_var,不是未命名的 $1 了
rewrite ^ /${temp_var}?new=1 break;
if ($arg_new = "1") {
set $flag "triggered";
}
return 200 "Config is now safer";
}
最后是个吐槽:其实最近本来是打算写一个关于个人博客运营的文章的,结果写的太久,在各种摸鱼中,反倒是写了两篇关于漏洞的资讯:joy:
Ttzip天天绿软
2026-05-19 22:19
我赶紧去看看
去年夏天
2026-05-22 14:14
昨天又出了一个新漏洞,也是缓冲区溢出,最新的1.31.0也没逃过
我是军爸
2026-05-15 18:57
居然有这么久远的漏洞
去年夏天
2026-05-22 14:12
昨天又被爆出来一个漏洞,最新的1.31.0也没逃过,1个月内 Linux 出了5个高危漏洞,Nginx出了2个……毁灭吧,赶紧的。
石樱灯笼
2026-05-15 18:43
我对nginx的评价:
1. 我从没觉得nginx好用过,而且我更加觉得向tengine的这种派生版本就是纯粹的狗屎。
2. 因为 nginx 不支持 .htaccess 所以我的所有项目和所有由我主导过的公司项目都没用过nginx。
3. 要把 rewrite 和 tls 等这种站级指令写到nginx的主配置文件这块过于白痴,简直就是预留给黑客的培养皿。
去年夏天
2026-05-15 19:02
各有各的好处和缺点吧。
石樱灯笼
2026-05-15 19:11
「Nginx 比 Apache 性能高」这个结论本身就是大厂打断了你的一条腿之后只能用第三条腿走路然后觉得自己很屌
去年夏天
2026-05-15 20:33
Ngnix 当年被捣鼓出来纯粹是为了解决,Apache 的进程/线程模型,用双腿走路,结果面对 C10K 问题走两步就喘的不行,整出了一套异步非阻塞模型的多路复用轮子替代双腿。当然后面 Apache 也借鉴了友商整出了Event MPM,也开始走类似的事件驱动+多路复用模式了。不过骨子里 Apache 依然是一个内存大胃王,比如我现在的垃圾前端机配置是用不起 Apache 的(说实话要不是Caddy我实在不太熟悉,我都想用 Caddy 了)。
你要是问我最好的 web 服务器是啥,我绝对说是 Apache ,对有稳定性要求的复杂动态业务处理上目前没人能比得上它,感觉什么需求都能找到对应的现成模块。,但是吧,你要问我前端反代用啥好,那我就绝对说是 Ngnix 了,就是个高性能的 HTTP/反向代理服务器,处理个静态文件转发,反向代理时,比 Apache 要好用和轻量的多。
说白了,现在的开发者越来越赖了,或者说,大家越来越不愿意把宝贵的时间浪费在枯燥的基础运维配置上,连 Nginx 都不用,开始用 Caddy 了。
去年夏天
2026-05-15 20:55
nginx 你把它用来搞负载均衡用的前端反代服务器,而不是一个 web 服务器就好用了。
tengine的这种派生版本纯粹是为了解决阿里自己超大规模流量负载均衡的自用修改。
xingwangzhe
2026-05-15 16:41
我直接关了我的vps,这下一劳永逸
去年夏天
2026-05-15 17:02
够直接!
满心
2026-05-15 14:06
我也是看到了新闻,还好我这个人小站没人在意
去年夏天
2026-05-15 16:30
自动化程序可不管这个那个的,只要扫到是基于 Nginx 的站点(甚至只要是2XX和3XX响应的,管你站点是基于什么的),就打一下试试。
熊猫小A
2026-05-15 12:57
昨晚上在网友提醒下火速更新了版本…
去年夏天
2026-05-15 16:26
虽然大部分现代系统默认会开了“内存随机化”,被攻击也只会让 Nginx 崩溃,而不是被拿到 Root 权限,但是确实严重性很大。
花非花
2026-05-15 11:10
我CC的VPS好像在洛杉矶机房,不知道咋回事连不是BT的升级服务器,折腾了一上午才更新成功
去年夏天
2026-05-15 11:35
估计今天全球一小半的站长(据说Ngnix占比30%)都在升级服务器吧……直接卡了
acevs
2026-05-15 11:03
不错。mark~
obaby
2026-05-15 08:59
试试能记住信息不
织梦岁月
2026-05-15 08:57
还有这样的事。可怕。。
去年夏天
2026-05-15 09:02
最近漏洞被发现的速度太快了,最近这2周 linux 就出了 3 个能获取 root 权限的漏洞。
fengc's Blog
2026-05-15 08:35
“上古漏”这个词太有趣准了,感觉不是在修漏洞,而是在考古。
去年夏天
2026-05-15 08:38
AI的加持下,挖掘漏洞的速度提高了很多,一堆上古漏洞都被挖出来了
obaby
2026-05-14 17:39
nginx -v
nginx version: openresty/1.27.1.2
啊,这,我的貌似都低于这个版本
去年夏天
2026-05-14 18:12
openresty 还没更新呢,最新的还是基于1.29.2的,等他更新吧