adjust

SuaInternet.COM
Menu
Agendar Consultoria
Home / Blog / Falha crítica de 18 anos no Nginx (CVE-2026-42945): Saiba como se proteger de DoS e RCE agora

Tecnologia

Falha crítica de 18 anos no Nginx (CVE-2026-42945): Saiba como se proteger de DoS e RCE agora

person

Por SuaInternet.COM

16 de maio de 2026

Descoberta vulnerabilidade crítica de 18 anos no servidor web Nginx

Uma falha de segurança crítica que permaneceu oculta por 18 anos no Nginx, um dos servidores web open-source mais utilizados no mundo, foi descoberta por pesquisadores da DepthFirst AI. A vulnerabilidade, registrada como CVE-2026-42945, possui pontuação CVSS de 9.2 (crítica) e pode ser explorada para realizar ataques de negação de serviço (DoS) e, em condições específicas, execução remota de código (RCE).

De acordo com o alerta de segurança publicado pela F5, fabricante responsável pelo Nginx, a vulnerabilidade afeta múltiplas versões do produto, incluindo o Nginx Open Source, Nginx Plus e F5 WAF for Nginx, colocando em risco milhões de servidores em todo o mundo.

Quais versões do Nginx estão vulneráveis?

As versões afetadas pela CVE-2026-42945 incluem:

  • Nginx Open Source: versões 0.6.27 até 1.30.0
  • Nginx Plus: múltiplas versões comerciais
  • F5 WAF for Nginx: produtos comerciais afetados

A abrangência temporal da falha é particularmente preocupante, já que versões do Nginx lançadas há quase duas décadas contêm a vulnerabilidade, o que significa que servidores desatualizados podem estar expostos há anos sem que seus administradores soubessem.

Como funciona a vulnerabilidade CVE-2026-42945

Trata-se de um buffer overflow no heap localizado no módulo ngx_http_rewrite_module do Nginx. A falha pode ser acionada quando as configurações do servidor utilizam simultaneamente as diretivas ‘rewrite’ e ‘set’ – um padrão extremamente comum em configurações de API gateways e reverse proxies.

O problema tem origem no tratamento inconsistente de estado no mecanismo interno de scripting do Nginx, que processa rewrites em duas etapas distintas:

  1. Primeira passagem: calcula a quantidade de memória a ser alocada
  2. Segunda passagem: copia os dados reais para o buffer

A falha ocorre quando uma flag chamada ‘is_args’ permanece ativa após um rewrite contendo o caractere ‘?’. Isso faz com que o Nginx calcule o tamanho do buffer usando comprimentos de URI não escapados, mas posteriormente escreva dados escapados maiores (como ‘+’ e ‘&’), resultando no buffer overflow.

Risco real de execução remota de código (RCE)

Os pesquisadores da DepthFirst AI demonstraram com sucesso a execução de código não autenticada através de requisições HTTP especialmente crafted que corrompem estruturas adjacentes de memory pool do Nginx. No entanto, é importante destacar as condições necessárias para esse tipo de exploração:

O RCE foi alcançado em sistemas com ASLR (Address Space Layout Randomization) desativado. O ASLR é uma proteção contra ataques de memória que está ativa por padrão na maioria dos sistemas operacionais modernos, mas pode ser desabilitada em alguns ambientes para aumentar a performance, como:

  • Sistemas embarcados
  • Máquinas virtuais usadas para análise
  • Ambientes de alta performance otimizados

Arquitetura multiprocesso facilita exploração

Um aspecto particularmente preocupante é que a arquitetura multiprocesso do Nginx torna a exploração mais fácil. Os worker processes herdam layouts de memória quase idênticos do master process. Como explicam os pesquisadores:

“Se nosso exploit falhar e travar um worker, o master process simplesmente cria um novo com exatamente o mesmo layout de memória”

Isso significa que atacantes podem tentar múltiplas vezes até conseguir explorar a vulnerabilidade com sucesso, sem que o servidor se recupere com um layout de memória diferente.

Ataques de negação de serviço (DoS) são mais prováveis

Embora o RCE exija condições específicas, os ataques de DoS são considerados realisticamente exploráveis em praticamente qualquer configuração vulnerável. Um atacante pode derrubar servidores Nginx simplesmente enviando requisições HTTP maliciosas que exploram o buffer overflow, causando crashes nos worker processes.

Para sites de alto tráfego e serviços críticos, isso pode resultar em:

  • Indisponibilidade prolongada de serviços
  • Perda de receita para e-commerces
  • Comprometimento de SLAs
  • Danos à reputação da marca

Outras vulnerabilidades descobertas na mesma auditoria

Durante a mesma sessão de análise de código de seis horas, a DepthFirst AI identificou três outras falhas de corrupção de memória no Nginx:

  • CVE-2026-42946
  • CVE-2026-40701
  • CVE-2026-42934

Essas vulnerabilidades adicionais reforçam a importância de manter o Nginx atualizado e realizar auditorias de segurança regulares em software crítico de infraestrutura.

Como se proteger: atualize imediatamente

A F5 já disponibilizou correções para todas as vulnerabilidades descobertas. Para se proteger contra a CVE-2026-42945 e as demais falhas, atualize para uma das seguintes versões:

Versões corrigidas:

  • Nginx Open Source 1.31.0 (versão mais recente)
  • Nginx Open Source 1.30.1 (patch de segurança para versão estável)
  • Nginx Plus R36 P4
  • Nginx Plus R32 P6

Passos recomendados:

  1. Verifique imediatamente a versão do Nginx em todos os seus servidores
  2. Planeje a atualização para uma versão corrigida o mais rápido possível
  3. Teste em ambiente de staging antes de aplicar em produção
  4. Monitore logs de acesso para detectar tentativas de exploração
  5. Habilite o ASLR em todos os sistemas onde for possível
  6. Revise configurações que usam diretivas ‘rewrite’ e ‘set’ simultaneamente

Impacto para o ecossistema web

O Nginx é utilizado por aproximadamente 35% de todos os sites no mundo, incluindo grandes plataformas como Netflix, WordPress.com, Dropbox e muitas outras. A descoberta desta vulnerabilidade de longa data destaca a importância crítica de:

  • Manter software sempre atualizado
  • Realizar auditorias de segurança proativas
  • Implementar defesa em profundidade
  • Monitorar ativamente ameaças de segurança

Administradores de sistema e equipes de DevOps devem tratar esta atualização como urgente, especialmente para servidores expostos diretamente à internet ou que processam dados sensíveis.

Conclusão

A CVE-2026-42945 representa um risco significativo para a segurança de servidores Nginx em todo o mundo. Embora a exploração completa via RCE exija condições específicas, o potencial para ataques de DoS é real e imediato. A boa notícia é que as correções já estão disponíveis e a atualização deve ser prioridade máxima para todas as organizações que utilizam o Nginx em sua infraestrutura.

Não espere ser alvo de um ataque – atualize seus servidores hoje mesmo.

Carlos Araújo

Carlos Araújo

Especialista em tecnologia e fundador da SuaInternet.COM. Com sólida experiência em desenvolvimento de software e inteligência artificial, dedica-se a criar soluções de alta performance e sites otimizados que conectam marcas a resultados. Entusiasta de sistemas Linux e automação, partilha aqui análises técnicas e tendências do ecossistema digital.

Tags:

#Atualização#buffer overflow#CVE-2026-42945#DoS#f5#falha crítica#nginx#RCE#Segurança#servidor web#Vulnerabilidade

Artigos Relacionados

Ubuntu 16.04 LTS Fica Sem Suporte em 2026: Veja Opções de Segurança e Como Migrar

13 de maio de 2026

França declara fim da dependência dos EUA: governo francês trocará Windows por Linux

5 de maio de 2026

Microsoft Edge: falha crítica expõe senhas em texto puro na memória RAM; entenda o risco e como se proteger

6 de maio de 2026