Uma falha crítica no NGINX (CVE-2026-42945) está sendo explorada na prática: é um estouro de heap no ngx_http_rewrite_module que pode derrubar workers e, em casos específicos (configuração vulnerável e ASLR desativado), permitir execução remota; a atividade detectada também inclui tentativas contra openDCIM, onde outras falhas podem ser encadeadas para RCE.
Uma falha crítica em NGINX — identificada como CVE-2026-42945 — está sendo explorada ativamente na natureza.
Trata-se de um estouro de buffer no heap no módulo ngx_http_rewrite_module que impacta NGINX Open e NGINX Plus, em versões da 0.6.27 até a 1.30.0.
Pesquisas apontam que o bug foi introduzido em 2008 e recebeu CVSS 9.2.
Com requisições HTTP especialmente forjadas, um atacante não autenticado pode derrubar processos workers e, em determinados cenários, chegar a executar código remotamente.
Contudo, a execução remota depende de condições específicas: uma configuração concreta do NGINX e a desativação do ASLR no servidor.
“It relies on a specific NGINX config to be vulnerable, and for an attacker to know or discover the config to exploit it,” disse o pesquisador de segurança Kevin Beaumont.
“To reach RCE, also ASLR needs to have been disabled on the box.”
“Turning the heap overflow into reliable code execution is not trivial in the default configuration, and on systems with ASLR enabled (which is the default on every supported AlmaLinux release), we do not expect a generic, reliable exploit to be easy to produce.”
“That said, ‘not easy’ is not ‘impossible,’ and the worker-crash DoS is exploitable enough on its own that we recommend treating this as urgent.”
Apesar das dificuldades para transformar esse estouro de heap em execução de código confiável nas configurações padrão, o impacto DoS já explorável fez com que especialistas recomendem atenção urgente.
A VulnCheck relatou que atores maliciosos já começaram a explorar a falha, detectando tentativas contra seus honeypots.
Para o NGINX, a orientação divulgada é aplicar as correções mais recentes disponibilizadas pela F5.
No mesmo período, a VulnCheck também identificou atividades explorando três falhas críticas no openDCIM, uma ferramenta open source para gestão de infraestrutura de data center.
Entre elas estão CVE-2026-28515, uma falta de autorização que pode permitir acesso às configurações LDAP mesmo sem privilégios em determinadas implantações Docker; e CVE-2026-28517, uma injeção de comandos no componente report_network_map.php que passa o parâmetro “dot” diretamente para o shell sem sanitização.
Essas duas foram descobertas junto com a CVE-2026-28516, uma injeção SQL, e um pesquisador mostrou que as três podem ser encadeadas para obter execução remota de código em cinco requisições HTTP.
“The cluster of attacker activity we’re observing so far originates from a single Chinese IP and uses what appears to be a customized implementation of AI vuln discovery tool Vulnhuntr to automatically check for vulnerable installations before dropping a PHP web shell,” disse Caitlin Condon, vice-presidente de pesquisa de segurança da VulnCheck.
Até o momento, a natureza precisa dessas operações e os objetivos finais não foram esclarecidos.
As investigações e o monitoramento continuam.
