Uma falha com 18 anos no popular servidor web de código aberto NGINX foi descoberta por um sistema autónomo de rastreio, permitindo ataques de negação de serviço e execução remota de código, segundo a investigação da DepthFirst AI. O problema obteve uma pontuação crítica de 9.2 e está documentado no boletim de segurança oficial como CVE-2026-42945.
Durante a mesma sessão de análise de código de seis horas, os investigadores detetaram mais três problemas de segurança relacionados com corrupção de memória. O NGINX é amplamente utilizado como servidor web e proxy reverso, suportando cerca de um terço dos principais sites globais ao equilibrar o tráfego de rede e reduzir os tempos de carregamento através do armazenamento em cache. Mantida pela tecnológica norte-americana F5, a plataforma está presente em fornecedores de nuvem, empresas de software, plataformas de comércio eletrónico, bancos e clusters Kubernetes.
Origem do problema e impacto nos servidores
A vulnerabilidade principal consiste num transbordo de buffer no módulo ngx_http_rewrite_module, afetando as versões 0.6.27 a 1.30.0 do NGINX. De acordo com os especialistas, a falha pode ser desencadeada quando as configurações utilizam as diretivas rewrite e set em simultâneo, uma prática bastante comum em gateways de API e ambientes de proxy reverso.
O problema deriva de uma gestão inconsistente no motor interno de scripts da plataforma, que processa as instruções em duas fases: a primeira calcula a memória necessária e a segunda copia os dados reais. Uma sinalização específica permanece ativa de forma incorreta, levando o servidor a calcular o tamanho do buffer com base em comprimentos de URI não escapados, mas escrevendo posteriormente blocos maiores, o que resulta no transbordo de memória.
Os investigadores demonstraram a execução de código sem autenticação através de pedidos HTTP manipulados para corromper as estruturas de memória adjacentes. No entanto, a execução remota de código apenas foi alcançada em sistemas onde a proteção ASLR estava desativada. Embora esta defesa venha ativa por predefinição, é por vezes desligada para otimizar o desempenho em máquinas virtuais de análise ou sistemas embutidos.
As outras três vulnerabilidades detetadas receberam uma classificação de gravidade média e alta:
CVE-2026-42946: Alocação excessiva de memória nos módulos SCGI/UWSGI, capaz de bloquear processos através de pedidos de alocação de quase 1 TB.
CVE-2026-40701: Uso após libertação na gestão da resolução assíncrona de DNS OCSP.
CVE-2026-42934: Erro de análise UTF-8 que provoca leituras fora dos limites.
Análise de risco no mundo real e mitigações
As falhas foram identificadas a 18 de abril de 2026 e comunicadas à empresa a 21 de abril. O aviso de segurança da F5, divulgado ontem, confirma que o problema afeta múltiplas construções, incluindo o NGINX Open Source, NGINX Plus, NGINX Instance Manager e diversas versões da firewall de aplicações web da marca. As correções já se encontram disponíveis nas versões mais recentes, como a 1.31.0 e 1.30.1 do repositório de código aberto. Para os administradores que não possam atualizar de imediato, a recomendação passa por substituir os grupos de captura PCRE não nomeados por capturas nomeadas nas regras de reescrita.
Apesar da gravidade teórica, vários analistas da comunidade de cibersegurança desvalorizaram o risco real de execução remota de código. Argumenta-se que a prova de conceito depende de condições extremamente específicas que raramente se verificam em implementações padrão.
A equipa responsável pela distribuição Linux AlmaLinux partilhou desta visão após reproduzir a vulnerabilidade de forma independente. Os programadores confirmaram que é fácil bloquear os processos do NGINX para causar uma negação de serviço, tornando esse vetor de ataque bastante realista. Contudo, transformá-lo numa execução de código fiável com o ASLR ativado é um processo altamente complexo, pelo que a falha deve ser tratada com urgência essencialmente pelo seu potencial de bloqueio.
Nenhum comentário
Seja o primeiro!