Falla crítica en NGINX permite ejecución remota de código sin autenticación
Publicado el
Vulnerabilidad crítica en NGINX
Investigadores en ciberseguridad han revelado varias vulnerabilidades que afectan a NGINX Plus y NGINX Open, incluyendo una falla crítica que ha permanecido sin ser detectada durante 18 años. La vulnerabilidad, identificada por depthfirst, se trata de un desbordamiento de búfer en la memoria que afecta al módulo ngx_http_rewrite_module (CVE-2026-42945, puntuación CVSS v4: 9.2), lo que podría permitir a un atacante llevar a cabo ejecución remota de código o causar un denegación de servicio (DoS) mediante solicitudes manipuladas. Este problema ha sido denominado NGINX Rift.
F5, en un aviso reciente, ha indicado que "NGINX Plus y NGINX Open Source presentan una vulnerabilidad en el módulo ngx_http_rewrite_module". Esta falla ocurre cuando la directiva de reescritura es seguida por una directiva de reescritura, if, o set, junto con una expresión regular compatible con Perl (PCRE) sin nombre, que incluye una cadena de reemplazo con un signo de interrogación (?).
Riesgo de explotación
Un atacante no autenticado puede explotar esta vulnerabilidad enviando solicitudes HTTP manipuladas. Esto puede provocar un desbordamiento de búfer en el proceso de trabajo de NGINX, lo que resulta en un reinicio del mismo. Además, en sistemas donde la aleatorización del diseño de espacio de direcciones (ASLR) está desactivada, es posible la ejecución de código. Depthfirst ha señalado que esta vulnerabilidad permite a un atacante remoto y no autenticado corromper el búfer de un proceso de trabajo de NGINX enviando un URI manipulado.
Lo que hace que esta vulnerabilidad sea especialmente grave es que puede ser alcanzada sin necesidad de autenticación, puede utilizarse de forma fiable para desencadenar el desbordamiento de búfer y puede conducir a la ejecución remota de código en el proceso de trabajo de NGINX. "Un atacante que pueda acceder a un servidor NGINX vulnerable a través de HTTP puede enviar una única solicitud que desborde el búfer en el proceso de trabajo y logre la ejecución remota de código", afirmaron desde depthfirst.
Otras vulnerabilidades en NGINX
Además de la falla CVE-2026-42945, se han corregido otras tres vulnerabilidades en NGINX Plus y NGINX Open Source:
- CVE-2026-42946 (puntuación CVSS v4: 8.3): vulnerabilidad de asignación de memoria excesiva en los módulos ngx_http_scgi_module y ngx_http_uwsgi_module, que podría permitir a un atacante no autenticado con capacidades de adversario en el medio (AitM) controlar las respuestas de un servidor ascendente y leer la memoria del proceso de trabajo de NGINX.
- CVE-2026-40701 (puntuación CVSS v4: 6.3): vulnerabilidad de uso después de liberar en el módulo ngx_http_ssl_module, que podría permitir a un atacante no autenticado tener un control limitado sobre la modificación de datos o reiniciar el proceso de trabajo de NGINX.
- CVE-2026-42934 (puntuación CVSS v4: 6.3): vulnerabilidad de lectura fuera de límites en el módulo ngx_http_charset_module, que podría permitir a un atacante no autenticado divulgar el contenido de la memoria o reiniciar el proceso de trabajo de NGINX.
Recomendaciones
Los usuarios son aconsejados a aplicar las últimas versiones para lograr una protección óptima. En caso de que no sea posible aplicar un parche inmediato para CVE-2026-42945, se sugiere modificar la configuración de reescritura reemplazando las capturas no nombradas por capturas nombradas en cada directiva de reescritura afectada.
La recomendación a los administradores de sistemas es actuar con rapidez para mitigar los riesgos asociados a esta vulnerabilidad, dado que su explotación es sencilla y no requiere autenticación.