F5 corrige una falla crítica en NGINX explotada en campo tras 18 años desapercibida

F5 corrige una falla crítica en NGINX explotada en campo tras 18 años desapercibida

F5 publicó una corrección urgente para una vulnerabilidad crítica en NGINX, un servidor web y proxy inverso que forma parte de una parte significativa de la infraestructura corporativa pública e interna. Clasificada como CVE-2026-42945 y con una puntuación CVSS de 9.2, la falla es un desbordamiento de búfer en el módulo ngx_http_rewrite_module, presente en el código desde 2008 y que afecta todas las versiones entre la 0.6.27 y la 1.30.0, tanto en la línea abierta como en la versión comercial NGINX Plus.

El descubrimiento fue atribuido a depthfirst, una empresa de seguridad que aplica modelos de IA para auditoría de código fuente. La divulgación pública ocurrió el 17 de mayo y, en cuestión de días, VulnCheck registró intentos de explotación contra honeypots en su red de telemetría.

RCE es difícil, caída de proceso es fácil

El potencial de ejecución remota de código existe, pero no es trivial. El investigador Kevin Beaumont resumió el escenario: "para llegar a RCE, el ASLR también necesita estar deshabilitado en la máquina". Los mantenedores de AlmaLinux hicieron eco: "transformar el desbordamiento de heap en ejecución de código confiable no es trivial en la configuración predeterminada". El riesgo inmediato, por lo tanto, es la denegación de servicio por caída recurrente de los procesos trabajadores, con ventanas oportunistas de ejecución de código donde la aleatorización de memoria esté fuera.

La combinación de una superficie gigantesca, explotación ya observada y un parche disponible convierte el escenario en una prioridad máxima para los equipos de seguridad. Quienes mantienen parques heterogéneos de NGINX, ya sea directamente, ya sea embebido en distribuciones de Linux o en contenedores, tienen una ventana corta para inventariar versiones y aplicar la actualización de F5.