网安资讯详情 - SecLens 情报雷达

网安资讯,一网打尽。汇集权威漏洞通告与行业要闻,结合分组浏览、智能过滤、RSS订阅 和 Webhook 推送,多通道拓展您的安全情报视野。

【漏洞通告】NGINX ngx_http_rewrite_module 堆缓冲区溢出漏洞(CVE-2026-9256)

来源: venustech_vuln_bulletin · 发布时间 2026-05-26 00:00 (UTC+08:00) · 抓取时间 2026-06-04 09:55 (UTC+08:00)

原文链接

正文

一、漏洞概述 NGINX是一款高性能开源Web服务器、反向代理及负载均衡软件,广泛应用于互联网网站、API网关、云原生平台及边缘服务场景。NGINX支持HTTP/HTTPS代理、缓存、Rewrite规则、流量调度及安全控制等功能,具备高并发、低资源消耗及灵活配置等特点,同时提供商业版本NGINX Plus用于企业级应用部署。 2026年5月26日,启明星辰安全应急响应中心(VSRC)监测到NGINX Rewrite模块堆缓冲区溢出漏洞。该漏洞源于rewrite指令在处理包含重叠PCRE捕获组的正则表达式时,对多个未命名捕获引用的内存处理存在缺陷,攻击者可通过构造恶意HTTP请求触发NGINX Worker进程发生Heap-based Buffer Overflow,导致服务异常重启或拒绝服务。在禁用ASLR或攻击者能够绕过ASLR保护的情况下,还可能进一步实现远程代码执行。该漏洞无需身份认证即可利用,可能导致业务中断、服务器失陷及敏感业务数据泄露。 二、影响范围 NGINX Plus 37.0.0 R32 <= NGINX Plus <= R36 NGINX Open Source 1.31.0 1.0.0 <= NGINX Open Source <= 1.30.1 0.1.17 <= NGINX Open Source <= 0.9.7 2.17.0 <= NGINX Instance Manager <= 2.22.0 5.9.0 <= F5 WAF for NGINX <= 5.13.0 5.2.0 <= NGINX App Protect WAF <= 5.8.0 4.10.0 <= NGINX App Protect WAF <= 4.16.0 F5 DoS for NGINX 4.9.0 4.3.0 <= NGINX App Protect DoS <= 4.7.0 2.0.0 <= NGINX Gateway Fabric <= 2.6.1 1.3.0 <= NGINX Gateway Fabric <= 1.6.2 5.0.0 <= NGINX Ingress Controller <= 5.4.2 4.0.0 <= NGINX Ingress Controller <= 4.0.1 3.5.0 <= NGINX Ingress Controller <= 3.7.2 三、安全措施 3.1 升级版本 官方已发布修复补丁,以修复该漏洞。 NGINX Plus 37.x >= 37.0.1 NGINX Plus R36 >= R36 P5 NGINX Plus R32 >= R32 P7 NGINX Open Source >= 1.31.1 NGINX Open Source >= 1.30.2 对于0.x旧版本分支: 0.1.17 <= NGINX Open Source <= 0.9.7 官方已声明 Will not fix,建议升级至受支持的新版本分支。 由于NGINX Instance Manager、F5 WAF for NGINX、NGINX App Protect WAF、F5 DoS for NGINX、NGINX App Protect DoS、NGINX Gateway Fabric及NGINX Ingress Controller等产品依赖底层NGINX组件,建议同步升级其底层NGINX Open Source或NGINX Plus至已修复版本。 下载链接: https://my.f5.com/manage/s/article/K000161377/ 3.2 临时措施 在无法立即升级至官方修复版本的情况下,建议用户优先排查并调整NGINX配置中的rewrite规则,避免使用$1、$2等未命名PCRE捕获变量,改用命名捕获组进行参数引用;同时禁止在rewrite规则中使用重叠、嵌套或过于复杂的正则捕获逻辑,减少由外部可控URI或Query String触发异常内存处理的风险。可参考如下方式修改配置:将rewrite ^/users/([0-9]+)/profile/(.*)$ /profile.php?id=$1&tab=$2 last调整为rewrite ^/users/(?[0-9]+)/profile/(? .*)$ /profile.php?id=$user_id&tab=$section last。此外,建议在WAF或反向代理层限制异常长URI、异常Query String及疑似恶意请求,启用ASLR、DEP等系统内存保护机制,并对NGINX Worker异常退出、Crash及频繁重启行为配置监控告警,定期审计NGINX配置文件,持续排查高风险rewrite规则。 3.3 通用建议 定期更新系统补丁,减少系统漏洞,提升服务器的安全性。 加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。 使用企业级安全产品,提升企业的网络安全性能。 加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。 启用强密码策略并设置为定期修改。 3.4 参考链接 https://my.f5.com/manage/s/article/K000161377/ https://nvd.nist.gov/vuln/detail/CVE-2026-9256 上一篇 下一篇

标签