# NGINX 潜伏 18 年重大漏洞曝光：CVE-2026-42945

5 月 14 日，安全研究机构 DepthFirst 披露了 NGINX 核心模块中一个潜伏长达 18 年的重大安全漏洞。

## 漏洞概要

| 项目 | 内容 |
|------|------|
| **编号** | CVE-2026-42945（代号「NGINX Rift」） |
| **CVSS 评分** | **9.2**（严重） |
| **影响模块** | ngx_http_rewrite_module |
| **存在时间** | 自 2008 年 NGINX 0.6.27 版本起 |
| **攻击方式** | 远程未经身份验证的攻击者通过特定 URI 请求触发堆溢出 |
| **后果** | 远程代码执行（RCE）或拒绝服务攻击 |
| **在野利用** | 尚无公开报告 |

## 影响范围

NGINX 是使用最广泛的开源 Web 服务器和反向代理之一，全球数百万网站和服务依赖其运行。该漏洞影响所有自 0.6.27 版本以来的 NGINX 部署。

## 修复版本

官方已紧急发布安全更新：
- **NGINX 1.30.1**
- **NGINX 1.31.0**

建议所有 NGINX 用户尽快升级至上述版本。

---

## 参考链接

- [派早报 - 少数派](https://sspai.com/post/109787)