NGINX CVE-2026-42945 漏洞被利用 可致进程崩溃与远程代码执行

近期，网络安全领域再次聚焦于一个“老”漏洞的新动态。据VulnCheck安全团队披露，一个影响NGINX Plus及开源版本的堆缓冲区溢出漏洞（编号CVE-2026-42945）在公开披露后数日内，已在真实网络环境中被监测到攻击尝试。该漏洞潜伏于ngx_http_rewrite_module模块中，影响范围广泛，涉及从0.6.27至1.30.0的多个历史版本。值得关注的是，AI原生安全厂商depthfirst通过代码溯源分析指出，该漏洞的根源可追溯至2008年的一次代码提交，堪称一个潜伏长达十余年的“历史遗留”安全问题。

漏洞利用条件深度解析

概括而言，未经身份验证的攻击者可通过发送特制的HTTP请求，触发NGINX工作进程崩溃。然而，业界更关注的是该漏洞是否可能导致远程代码执行（RCE）。目前分析表明：存在理论可能，但实际利用门槛较高。

要实现完整的RCE攻击，攻击者必须同时满足两项严苛前提：其一，目标系统需禁用地址空间布局随机化（ASLR）这一核心内存防护机制；其二，攻击者还需预先获取目标服务器上特定的、易受攻击的NGINX配置信息。

安全研究员Kevin Beaumont对此评价道：“实现远程代码执行不仅依赖特定配置，攻击者还需精确知晓配置内容。更重要的是，若系统已启用ASLR——例如所有受支持的AlmaLinux发行版均默认开启——则漏洞的稳定利用将极为困难。”AlmaLinux维护团队进一步强调，尽管完整RCE利用链构建难度大，但仅触发进程崩溃的拒绝服务攻击已构成实质性威胁，建议所有受影响用户立即采取修复措施。

野外攻击态势追踪

虽然VulnCheck的威胁情报网络已捕获针对该漏洞的攻击尝试，但攻击者的最终意图与具体目标尚未明确。无论如何，官方补丁已由F公司发布，最安全的应对策略仍是尽快升级至已修复的安全版本。

openDCIM三重漏洞链式攻击剖析

同期，VulnCheck还披露了针对另一款开源软件——数据中心基础设施管理平台openDCIM的活跃攻击活动。攻击者利用两个高危漏洞（CVSS评分均为9.3），形成组合式攻击链。

第一个是CVE-2026-28515，属于权限缺失漏洞。已认证用户可越权访问LDAP配置功能。在Docker部署场景下，若管理员未强制实施REMOTE_USER认证，攻击者甚至可在无需任何凭证的情况下直接篡改应用配置。

第二个是CVE-2026-28517，为典型的操作系统命令注入漏洞。问题源于report_network_map.php组件未能对用户输入的“dot”参数进行有效过滤，便直接传递给系统命令执行接口。

这两个漏洞由VulnCheck研究员Valentin Lobstein于今年2月发现。当它们与同期曝出的SQL注入漏洞（CVE-2026-28516）组合利用时，攻击者仅需发起5次HTTP请求，即可实现远程代码执行并建立反向shell，从而完全控制目标服务器。VulnCheck安全研究副总裁Caitlin Condon透露，当前观测到的攻击活动源自单一中国IP地址。攻击者使用一款定制化的AI漏洞扫描工具Vulnhuntr自动探测易受攻击系统后，会植入一个PHP网页后门shell。