F5 修補存在 18 年的 Nginx 重大漏洞

漏洞發現與影響範圍

2026 年 5 月 13 日，資安研究機構 depthfirst 開發的 AI 安全分析系統自主發現了一個潛伏長達 18 年的 Nginx 關鍵漏洞，編號為 CVE-2026-42945。該漏洞最初於 2008 年發布的 Nginx 0.6.27 版中引入，長期未被發現，影響範圍涵蓋從 0.6.27 版到 1.30.0 版的所有 Nginx 版本。

漏洞成因與風險

此漏洞起因於指令碼引擎的執行機制採用兩個步驟，當 rewrite 指令後方接續另一個 rewrite、if 或 set 指令時，若該指令包含未命名的心智契約相容正規表達式擷取組，便可能導致記憶體損壞。深度分析顯示，一旦觸發此條件，遠端攻擊者可能透過發送特製的 HTTP 請求，造成服務中斷（DoS）甚至引發程式碼執行（RCE）風險。

F5 回應與修復措施

接到漏洞通報後，F5 公司迅速確認該問題，並發布資安公告指出採用非同步事件驅動框架的網頁伺服器 Nginx 存在此資安漏洞。目前 F5 已準備好修復程序，建議所有使用 Nginx 及其衍生產品的用戶立即升級至不受影響的最新版本，以消除潛在的安全威脅。