Falha crítica no NGINX não corrigida por 18 anos expõe servidores

Uma vulnerabilidade recentemente descoberta em versões do NGINX — incluindo as edições Open Source e Plus — chamou a atenção da comunidade de segurança cibernética. A falha, identificada como CVE-2026-42945 e batizada de “NGINX Rift”, permaneceu despercebida por 18 anos e permite que invasores executem código remotamente sem autenticação prévia.

Origem e impacto da vulnerabilidade CVE-2026-42945

A falha está localizada no módulo ngx_http_rewrite_module e pode ser explorada com o envio de requisições HTTP especialmente criadas. Segundo os pesquisadores da Depthfirst, um invasor pode acionar um heap buffer overflow – transbordamento de memória dinâmica – no processo de trabalho do NGINX, causando reinicializações forçadas ou, em casos críticos, a execução remota de código (RCE).

O problema atinge as versões do NGINX Plus de R32 a R36 e as versões Open Source de 1.0.0 a 1.30.0. Ele foi relatado de maneira responsável à F5 em 21 de abril de 2026 e, de acordo com o boletim oficial da empresa, a correção foi liberada nas versões 1.30.1 e 1.31.0 do NGINX.

Como o ataque ocorre

Explorar o NGINX Rift exige apenas o envio de uma requisição manipulada para um servidor vulnerável. Não é necessário autenticação nem sessão prévia. Quando a diretiva rewrite é combinada com variáveis de captura não nomeadas (como $1 ou $2) e um ponto de interrogação no valor de substituição, isso pode disparar o overflow no buffer. O invasor, dessa forma, obtém controle sobre a memória e potencialmente o sistema inteiro.

Em servidores sem recursos modernos como o Address Space Layout Randomization (ASLR) habilitado, o risco de execução de código arbitrário é ainda maior, tornando o ataque altamente perigoso em ambientes legados.

Outras vulnerabilidades correlatas

A F5 também divulgou a correção de outras três vulnerabilidades em seus produtos:

• CVE-2026-42946 – Alocação excessiva de memória nos módulos SCGI e uWSGI, com risco de leitura indevida de dados de memória.
• CVE-2026-40701 – Falha de use-after-free no módulo SSL, permitindo reinício do processo de trabalho.
• CVE-2026-42934 – Leitura fora dos limites do módulo de charset, que pode vazar informações sensíveis.

Esses problemas, embora menos críticos que o NGINX Rift, demonstram a necessidade de manutenção constante do ecossistema para mitigar múltiplas superfícies de ataque.

Como mitigar o problema

Para quem não pode aplicar imediatamente as atualizações de segurança, a principal mitigação recomendada é substituir capturas não nomeadas ($1, $2) por capturas nomeadas em cada regra rewrite afetada. Além disso, administradores devem garantir que o ASLR esteja habilitado no sistema operacional.

As versões corrigidas incluem:

• NGINX Plus: R32 P6 e R36 P4;
• NGINX Open Source: 1.30.1 e 1.31.0;
• Ingress Controller: 3.7.2 e posteriores;
• F5 WAF for NGINX e NGINX App Protect: versões superiores a 5.8.0;
• Instance Manager: versões superiores a 2.21.1.

Especialistas destacam que sistemas executando versões antigas, especialmente entre 0.6.27 e 0.9.7, não receberão correção – tornando a atualização essencial.

A importância da manutenção contínua em servidores web

O NGINX é utilizado por mais de 30% dos sites ativos no mundo. Uma falha com potencial de execução remota sem autenticação pode comprometer serviços críticos, desde portais governamentais até aplicações financeiras e de e-commerce. Segundo relatório da Depthfirst, “um invasor pode causar interrupção generalizada ou tomar controle total do servidor apenas com um pedido HTTP especialmente construído.”

Perguntas frequentes sobre Falha crítica

Considerações finais

A descoberta do NGINX Rift é um lembrete contundente da importância da higiene digital e da prática de atualização contínua de infraestrutura. Mesmo um software tão consolidado quanto o NGINX pode ocultar vulnerabilidades críticas por décadas. Administradores e desenvolvedores devem agir rapidamente para aplicar as correções e revisar suas configurações a fim de evitar potenciais brechas catastróficas.