NGINX Rift: falla de 18 años en el servidor web más implementado del mundo entra en explotación activa

Cinco días fueron suficientes. El 13 de mayo de 2026, F5 y la firma de investigación depthfirst divulgaron públicamente el CVE-2026-42945, apodado "NGINX Rift", una falla crítica de desbordamiento de buffer de heap en el módulo de reescritura de NGINX. Un código de prueba de concepto fue publicado el mismo día. Según VulnCheck, se detectaron intentos de explotación activa ya el 16 de mayo, tres días después de la divulgación, y HelpNetSecurity formalizó la confirmación de explotación en campo el 18 de mayo de 2026. La ventana entre la publicación del exploit y el ataque en producción se redujo a menos de una semana.

La abarcabilidad del problema es considerable. Según W3Techs, en marzo de 2026, NGINX representaba el 32,8% de todos los servidores web rastreados, liderando por delante de Apache, que tiene un 24,1%. Todo este universo de servidores, incluidos NGINX Plus de R32 a R36, estaba expuesto a un bug introducido en NGINX 0.6.27 en 2008, hace 18 años.

La mecánica de la falla

El CVE-2026-42945 reside en el módulo ngx_http_rewrite_module, el componente responsable de procesar directivas de reescritura de URL. La falla ocurre cuando una regla combina una captura PCRE sin nombre, del tipo $1 o $2, con un carácter de punto de interrogación en el texto de sustitución. El motor de script calcula el tamaño del buffer de destino usando un método de escape y ejecuta la escritura usando otro, incompatible. Caracteres como +, % y & se expanden en la segunda etapa, causando escritura más allá de los límites del heap asignado, sin ningún tipo de autenticación previa del atacante.

La CVSS v4 de la vulnerabilidad es 9,2 y la CVSS v3.1 es 8,1. En configuraciones por defecto, el resultado es denegación de servicio a través de una única solicitud HTTP malformada. El investigador Kevin Beaumont y VulnCheck alertaron que, si el atacante logra deshabilitar el ASLR en el servidor objetivo, la falla puede ser escalada a ejecución remota de código sin necesidad de credenciales.

El largo ciclo de vida del bug se explica por el camino de código afectado, que requiere una combinación específica de directivas ausente en las configuraciones de referencia de la documentación oficial. Administradores que replicaron ejemplos estándar nunca activaron el módulo de reescritura de esta forma y permanecieron protegidos por accidente durante 18 años.

Versiones afectadas y remediación

La ventana de exposición cubre todas las versiones de NGINX Open Source entre 0.6.27 y 1.30.0, además de NGINX Plus R32 a R36. F5 lanzó parches en las versiones 1.30.1, en la rama estable, y 1.31.0, en la rama mainline, en la fecha de divulgación, 13 de mayo. Para equipos sin ventana de mantenimiento inmediata, existe una mitigación configurable: reemplazar capturas PCRE sin nombre por capturas con nombre en las directivas rewrite afectadas, eliminando la condición que lleva al desbordamiento.

Ambientes Kubernetes que operan el ingress-nginx, el controlador de ingreso basado en NGINX más utilizado en el ecosistema, están en el mismo radio de exposición. El controlador procesa reescrituras de URL como función central, y las instalaciones estándar de ingress-nginx con directivas de reescritura configuradas son vulnerables al mismo vector. Los administradores de plataforma deben incluir en el inventario de remediación las versiones de NGINX incrustadas en imágenes de contenedor y charts de Helm, no solo las instalaciones directas en el sistema operativo.

Una ventana que ya se cerró para muchos

El plazo de tres días entre la divulgación y las primeras exploraciones documentadas por VulnCheck contrasta con el intervalo medio de 5 a 15 días observado en vulnerabilidades críticas recientes de infraestructura de servidor web. El dato es relevante para equipos de respuesta: la ventana segura de evaluación antes de la explotación masiva prácticamente ha desaparecido en esta clase de vulnerabilidad.

Plataformas de gestión de superficie de ataque como Axonius y Orca Security reportaron instancias de NGINX aún no remediadas accesibles a través de internet cinco días después del parche. El patrón es común en componentes de infraestructura web ampliamente implementados: versiones heredadas se acumulan en imágenes de contenedor congeladas, en pipelines de CI/CD que no imponen renovación de base images y en servidores provisionados antes de la adopción de prácticas modernas de gestión de vulnerabilidades. Para organizaciones que operan plataformas de software para clientes, NGINX Rift hace urgente un inventario transversal de versiones de este servidor, incluyendo lo que está dentro de artefactos de build, no solo lo que está en ejecución.