O que aconteceu
Pesquisadores da firma de seguranca depthfirst descobriram uma vulnerabilidade critica no NGINX que existia desde 2008, sem deteccao, por 18 anos. A falha (CVE-2026-42945, CVSS 9.2) permite execucao remota de codigo (RCE) e afeta todas as versoes do NGINX Open Source de 0.6.27 ate 1.30.0, alem de multiplos produtos da F5 como NGINX Plus, NGINX Ingress Controller e NGINX Gateway Fabric.
Um exploit funcional ja foi publicado no GitHub, e a combinacao de severidade alta com ampla superficie de ataque torna essa uma das CVEs mais urgentes de 2026 para equipes de infraestrutura.
Como a falha funciona
A vulnerabilidade e um heap buffer overflow no modulo ngx_http_rewrite_module, responsavel por reescrita de URLs e atribuicao de variaveis. O motor interno do NGINX processa diretivas rewrite e set em duas passagens: a primeira calcula o tamanho da memoria necessaria e a segunda escreve os dados no buffer alocado.
O problema ocorre quando uma diretiva rewrite contem um caractere de interrogacao (?). Esse caractere ativa permanentemente uma flag is_args = 1 no motor principal. Porem, na primeira passagem (calculo de tamanho), um sub-motor zerado e utilizado, fazendo com que is_args seja efetivamente zero. O tamanho e calculado sem considerar o escape de URI.
Na segunda passagem, o motor principal roda com is_args = 1, e a funcao ngx_escape_uri expande cada byte escapavel de 1 para 3 bytes. O resultado: muito mais dados sao escritos no buffer do que o espaco alocado comporta, causando o overflow classico de heap. A arquitetura multi-processo deterministica do NGINX facilita a exploracao, permitindo heap spray previsivel via corpos POST.
Impacto e produtos afetados
O padrao de configuracao que dispara a falha (uso combinado de rewrite e set) e extremamente comum em deployments de API gateway e reverse proxy. A lista de produtos afetados inclui:
- NGINX Open Source: versoes 0.6.27 a 1.30.0
- NGINX Plus: R32 a R36
- NGINX Instance Manager: 2.16.0 a 2.21.1
- F5 WAF para NGINX: 5.9.0 a 5.12.1
- NGINX App Protect WAF: 4.9.0 a 4.16.0 e 5.1.0 a 5.8.0
- NGINX Gateway Fabric: 1.3.0 a 1.6.2 e 2.0.0 a 2.5.1
- NGINX Ingress Controller: 3.5.0 a 3.7.2, 4.0.0 a 4.0.1, 5.0.0 a 5.4.1
A auditoria revelou ainda tres CVEs adicionais no mesmo ciclo: CVE-2026-42946 (severidade alta, CVSS 8.3, crash por alocacao massiva nos modulos SCGI/uWSGI), CVE-2026-40701 (media, use-after-free via OCSP no modulo SSL) e CVE-2026-42934 (media, leitura fora dos limites no modulo charset). No total, a F5 corrigiu mais de 50 vulnerabilidades em produtos BIG-IP, BIG-IQ e NGINX nesta rodada.
O que fazer agora
- Atualize imediatamente para NGINX 1.30.1 ou 1.31.0. A F5 publicou o advisory oficial K000161019 em 13 de maio de 2026.
- Audite configuracoes que utilizem diretivas
rewriteesetem conjunto, especialmente em setups de API gateway e reverse proxy expostos a internet. - Considere protecao adicional via WAF enquanto o patch nao for aplicado, restringindo deployments NGINX expostos diretamente.
- Atualize produtos derivados (NGINX Plus, Ingress Controller, Gateway Fabric) para as versoes corrigidas listadas no advisory da F5.
O que observar daqui
Uma vulnerabilidade que existia ha 18 anos em um dos web servers mais utilizados do mundo levanta questoes serias sobre a auditoria de codigo em projetos de infraestrutura critica. O NGINX e o web server ou reverse proxy padrao em uma parcela significativa dos servidores de producao globais, incluindo ambientes Kubernetes (via Ingress Controller) e API gateways corporativos.
O fato de que o padrao de configuracao que dispara a falha e comum em deployments reais, combinado com a disponibilidade publica de um exploit funcional de RCE, torna essa CVE especialmente perigosa para organizacoes que nao aplicarem o patch rapidamente. A equipe da AlmaLinux ja reproduziu o problema independentemente em todas as releases suportadas, confirmando a viabilidade pratica da exploracao.
Equipes de infraestrutura devem tratar essa atualizacao como prioridade maxima. Para ambientes que utilizam NGINX como ponto de entrada para APIs e servicos criticos, o risco de exposicao e real e imediato.