Peneliti Temukan Kerentanan RCE Kritis di Nginx
Judul asli: New Nginx Exploit
Mengapa Ini Penting
Kerentanan RCE kritis pada web server populer memerlukan patch segera
DepthFirstDisclosures melaporkan CVE-2026-42945, kerentanan buffer overflow kritis di modul ngx_http_rewrite_module Nginx yang memungkinkan eksekusi kode jarak jauh tanpa autentikasi pada server menggunakan directive rewrite dan set.
Bug ini ditemukan secara otomatis oleh sistem analisis keamanan DepthFirst setelah analisis satu klik pada source code Nginx. Kerentanan berasal dari proses dua tahap di script engine Nginx: pertama menghitung ukuran buffer yang diperlukan, kemudian menyalin data. Flag is_args diset pada engine utama saat penggantian rewrite mengandung '?', namun tahap kalkulasi panjang berjalan pada sub-engine yang baru di-zero. Bug ini ada sejak 2008 dalam modul rewrite Nginx. Selain CVE-2026-42945, ditemukan juga tiga kerentanan memory corruption lainnya: CVE-2026-42946, CVE-2026-40701, dan CVE-2026-42934.