CVE-2026-42945: Heap Overflow en NGINX Plus/Open Source
Plataforma
nginx
Componente
ngx_http_rewrite_module
Corregido en
R36 P4
Se ha descubierto una vulnerabilidad de desbordamiento de búfer de pila en el módulo ngxhttprewrite_module de NGINX Plus y NGINX Open Source. Esta falla ocurre cuando la directiva 'rewrite' es seguida por 'rewrite', 'if' o 'set' y utiliza una expresión regular PCRE sin nombre ($1, $2) con una cadena de reemplazo que incluye un signo de interrogación (?). La explotación exitosa puede provocar un reinicio del proceso worker de NGINX, afectando la disponibilidad del servicio. Las versiones afectadas son aquellas anteriores o iguales a R36 P4; la solución es actualizar a la versión R36 P4.
Impacto y Escenarios de Ataque
Un atacante remoto, sin necesidad de autenticación, puede explotar esta vulnerabilidad enviando solicitudes HTTP especialmente diseñadas. La vulnerabilidad reside en la forma en que NGINX maneja las expresiones regulares PCRE en las directivas de reescritura, particularmente cuando se utilizan capturas sin nombre y cadenas de reemplazo con signos de interrogación. El desbordamiento de búfer resultante puede llevar a un reinicio del proceso worker de NGINX, interrumpiendo el servicio y potencialmente permitiendo la ejecución de código arbitrario si se combinara con otras vulnerabilidades. Aunque el reinicio es el impacto inmediato reportado, la posibilidad de escalada de privilegios y control del servidor no puede descartarse completamente, especialmente en configuraciones con permisos incorrectos.
Contexto de Explotación
La vulnerabilidad fue publicada el 13 de mayo de 2026. Su severidad ha sido calificada como ALTA con un CVSS de 8.1. Actualmente, no se han reportado campañas de explotación activas conocidas. La vulnerabilidad no figura en la lista KEV (Known Exploited Vulnerabilities) a la fecha de publicación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada.
Inteligencia de Amenazas
Estado del Exploit
CISA SSVC
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Alta — requiere condición de carrera, configuración no predeterminada o circunstancias específicas. Más difícil de explotar.
- Privileges Required
- Ninguno — sin autenticación. No se necesitan credenciales para explotar.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
- Integrity
- Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
- Availability
- Alto — caída completa o agotamiento de recursos. Denegación de servicio total.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
- Modificada
Mitigación y Workarounds
La mitigación principal es actualizar a la versión R36 P4 de NGINX Plus o NGINX Open Source, donde esta vulnerabilidad ha sido corregida. Si la actualización inmediata no es posible, considere implementar reglas en un firewall de aplicaciones web (WAF) o un proxy inverso para bloquear solicitudes HTTP que contengan patrones sospechosos en las directivas de reescritura, específicamente aquellos que incluyan capturas sin nombre y signos de interrogación en las cadenas de reemplazo. Revise cuidadosamente las configuraciones de NGINX, prestando especial atención a las directivas 'rewrite', 'if' y 'set' para identificar posibles patrones vulnerables. Monitoree los logs de NGINX en busca de errores relacionados con el módulo ngxhttprewrite_module.
Cómo corregirlotraduciendo…
Actualice NGINX Plus a la versión R36 P4 o superior, NGINX Open Source a la versión 1.31.1 o superior, o a las versiones especificadas en el aviso de seguridad de F5 para mitigar el riesgo de desbordamiento del búfer de la pila y posible ejecución de código.
Preguntas frecuentes
What is CVE-2026-42945 — Heap Overflow en NGINX Plus/Open Source?
CVE-2026-42945 describe una vulnerabilidad de desbordamiento de búfer de pila en el módulo ngxhttprewrite_module de NGINX Plus y NGINX Open Source, que puede causar un reinicio del proceso worker al recibir solicitudes HTTP maliciosas. Tiene una severidad ALTA (CVSS 8.1).
Am I affected by CVE-2026-42945 en NGINX Plus/Open Source?
Si está utilizando NGINX Plus o NGINX Open Source en una versión anterior o igual a R36 P4, es vulnerable a esta vulnerabilidad. Verifique su versión actual con el comando 'nginx -v'.
How do I fix CVE-2026-42945 en NGINX Plus/Open Source?
La solución es actualizar a la versión R36 P4 de NGINX Plus o NGINX Open Source. Si la actualización no es inmediata, implemente reglas WAF o proxy para bloquear solicitudes sospechosas.
Is CVE-2026-42945 being actively exploited?
A la fecha de publicación, no se han reportado campañas de explotación activas conocidas, pero se recomienda monitorear las fuentes de inteligencia de amenazas.
Where can I find the official NGINX advisory for CVE-2026-42945?
Consulte el sitio web oficial de NGINX para obtener la información más reciente y la guía de solución: [https://nginx.com/resources/security/](https://nginx.com/resources/security/)
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Pruébalo ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...