【漏洞通告】NGINX ngx_http_rewrite_module 堆缓冲区溢出漏洞(CVE-2026-9256)
发布时间 2026-05-26一、漏洞概述
NGINX是一款高性能开源Web服务器、反向代理及负载均衡软件,广泛应用于互联网网站、API网关、云原生平台及边缘服务场景。NGINX支持HTTP/HTTPS代理、缓存、Rewrite规则、流量调度及安全控制等功能,具备高并发、低资源消耗及灵活配置等特点,同时提供商业版本NGINX Plus用于企业级应用部署。
2026年5月26日,启明星辰安全应急响应中心(VSRC)监测到NGINX Rewrite模块堆缓冲区溢出漏洞。该漏洞源于rewrite指令在处理包含重叠PCRE捕获组的正则表达式时,对多个未命名捕获引用的内存处理存在缺陷,攻击者可通过构造恶意HTTP请求触发NGINX Worker进程发生Heap-based Buffer Overflow,导致服务异常重启或拒绝服务。在禁用ASLR或攻击者能够绕过ASLR保护的情况下,还可能进一步实现远程代码执行。该漏洞无需身份认证即可利用,可能导致业务中断、服务器失陷及敏感业务数据泄露。
二、影响范围
NGINX Plus 37.0.0
R32 <= NGINX Plus <= R36
NGINX Open Source 1.31.0
1.0.0 <= NGINX Open Source <= 1.30.1
0.1.17 <= NGINX Open Source <= 0.9.7
2.17.0 <= NGINX Instance Manager <= 2.22.0
5.9.0 <= F5 WAF for NGINX <= 5.13.0
5.2.0 <= NGINX App Protect WAF <= 5.8.0
4.10.0 <= NGINX App Protect WAF <= 4.16.0
F5 DoS for NGINX 4.9.0
4.3.0 <= NGINX App Protect DoS <= 4.7.0
2.0.0 <= NGINX Gateway Fabric <= 2.6.1
1.3.0 <= NGINX Gateway Fabric <= 1.6.2
5.0.0 <= NGINX Ingress Controller <= 5.4.2
4.0.0 <= NGINX Ingress Controller <= 4.0.1
3.5.0 <= NGINX Ingress Controller <= 3.7.2
三、安全措施
3.1 升级版本
官方已发布修复补丁,以修复该漏洞。
NGINX Plus 37.x >= 37.0.1
NGINX Plus R36 >= R36 P5
NGINX Plus R32 >= R32 P7
NGINX Open Source >= 1.31.1
NGINX Open Source >= 1.30.2
对于0.x旧版本分支:
0.1.17 <= NGINX Open Source <= 0.9.7
官方已声明 Will not fix,建议升级至受支持的新版本分支。
由于NGINX Instance Manager、F5 WAF for NGINX、NGINX App Protect WAF、F5 DoS for NGINX、NGINX App Protect DoS、NGINX Gateway Fabric及NGINX Ingress Controller等产品依赖底层NGINX组件,建议同步升级其底层NGINX Open Source或NGINX Plus至已修复版本。
下载链接:
https://my.f5.com/manage/s/article/K000161377/
3.2 临时措施
在无法立即升级至官方修复版本的情况下,建议用户优先排查并调整NGINX配置中的rewrite规则,避免使用$1、$2等未命名PCRE捕获变量,改用命名捕获组进行参数引用;同时禁止在rewrite规则中使用重叠、嵌套或过于复杂的正则捕获逻辑,减少由外部可控URI或Query String触发异常内存处理的风险。可参考如下方式修改配置:将rewrite ^/users/([0-9]+)/profile/(.*)$ /profile.php?id=$1&tab=$2 last调整为rewrite ^/users/(?[0-9]+)/profile/(?
.*)$ /profile.php?id=$user_id&tab=$section last。此外,建议在WAF或反向代理层限制异常长URI、异常Query String及疑似恶意请求,启用ASLR、DEP等系统内存保护机制,并对NGINX Worker异常退出、Crash及频繁重启行为配置监控告警,定期审计NGINX配置文件,持续排查高风险rewrite规则。
3.3 通用建议
定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
使用企业级安全产品,提升企业的网络安全性能。
加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
启用强密码策略并设置为定期修改。
3.4 参考链接
https://my.f5.com/manage/s/article/K000161377/
https://nvd.nist.gov/vuln/detail/CVE-2026-9256
京公网安备11010802024551号