Investigadores de seguridad han publicado un exploit de ejecución remota de código (RCE) para CVE-2026-42945, una crítica vulnerabilidad de heap buffer overflow en el módulo ngx_http_rewrite_module de NGINX que existe desde 2008. La flaw permite a atacantes no autenticados ejecutar código arbitrario en servidores vulnerables que utilizan directivas rewrite y set. El sistema de análisis de seguridad autónomo DepthFirst descubrió esta vulnerabilidad junto con otras tres issues de corrupción de memoria (CVE-2026-42946, CVE-2026-40701, CVE-2026-42934). El problema técnico radica en un fallo de sincronización entre el proceso de cálculo de longitud y el de copia de datos: el flag is_args se establece en el motor principal solo cuando el reemplazo contiene ?, pero el paso de cálculo se ejecuta en un sub-motor limpio, causando que la copia exceda el buffer asignado. El exploit utiliza heap feng shui entre solicitudes para corromper un puntero de cleanup de ngx_pool_t y redirigirlo a una función system(). NGINX Open Source versiones 0.6.27 a 1.30.0 están afectadas, con correcciones disponibles en 1.31.0 y 1.30.1. NGINX Plus R32 a R36 tienen parches en R36 P4, R35 P2 y R32 P6.
Exploit RCE crítico afecta servidores NGINX vulnerables desde 2008
