Nginx重大漏洞已被用於攻擊
漏洞簡介
F5於5月13日修補網頁伺服器Nginx的資安漏洞CVE-2026-42945,此漏洞早在18年前即被引入,可能導致伺服器服務中斷(DoS),在特定條件下還能讓攻擊者執行任意程式碼,CVSS v4.0風險評分為9.2分(滿分10分),屬於高危級別。
攻擊方式與風險
未經身分驗證的攻擊者,僅需發送特製的HTTP請求,即可觸發漏洞,導致Nginx處理程序出現記憶體堆積緩衝區溢位,進而使伺服器崩潰。在特定條件下,攻擊者還可能取得伺服器的遠端程式碼執行(RCE)權限,對系統造成嚴重威脅。
相關漏洞與補丁
- CVE-2026-42945:F5已發布安全補丁,修復Nginx的高危漏洞,建議所有使用者盡速更新。
- CVE-2026-33032:Nginx第三方管理介面Nginx UI存在重大漏洞,攻擊者可在無須驗證的情況下接管伺服器,已遭利用。
- CVE-2026-27944:Nginx UI的/api/back up未設身分驗證,攻擊者可下載並解密備份檔,進而取得帳號密碼與憑證。
- CVE-2025-1974:Kubernetes Ingress-NGINX存在重大漏洞,可被利用進行反向Shell與命令執行。
專家警告
多個資安研究機構與媒體已發出警告,指出此類漏洞因潛伏時間長,且影響範圍廣,全球約三分之一的網站可能面臨遠端程式碼執行風險,建議相關系統管理者立即檢視並更新Nginx與其第三方管理工具。