2026年5月13日，安全研究团队depthfirst披露NGINX存在一组高危漏洞，其中最严重CVE-2026-42945可追溯至2008年。攻击者无需认证，仅需发送特制HTTP请求即可触发工作进程崩溃，甚至实现远程代码执行。漏洞源于ngx_http_rewrite_module的缓冲区溢出缺陷，影响所有标准NGINX构建版本。全球约三分之一网站使用NGINX，风险广泛。官方已发布修复方案：NGINX开源版需升级至1.31.0或1.30.1，Plus版需升级至R36 P4或R32 P6，并重启服务。暂无法升级者可改用命名正则捕获作为临时缓解措施。

免责声明：本文内容由开放的智能模型自动生成，仅供参考。