F5 corrige falha crítica no NGINX explorada em campo após 18 anos despercebida

F5 corrige falha crítica no NGINX explorada em campo após 18 anos despercebida

A F5 publicou correção urgente para uma vulnerabilidade crítica no NGINX, servidor web e proxy reverso que está em uma parcela significativa da infraestrutura corporativa pública e interna. Classificada como CVE-2026-42945 e com pontuação CVSS de 9.2, a falha é um buffer overflow no módulo ngx_http_rewrite_module, presente no código desde 2008 e afetando todas as versões entre a 0.6.27 e a 1.30.0, tanto na linha aberta quanto na versão comercial NGINX Plus.

A descoberta foi atribuída à depthfirst, empresa de segurança que aplica modelos de IA para auditoria de código-fonte. A divulgação pública ocorreu em 17 de maio e, em questão de dias, a VulnCheck registrou tentativas de exploração contra honeypots em sua rede de telemetria.

RCE é difícil, derrubada de processo é fácil

O potencial de execução remota de código existe, mas não é trivial. O pesquisador Kevin Beaumont resumiu o cenário: "para chegar a RCE, o ASLR também precisa estar desabilitado na máquina". Mantenedores do AlmaLinux fizeram coro: "transformar o heap overflow em execução de código confiável não é trivial na configuração padrão". O risco imediato, portanto, é negação de serviço por crash recorrente dos worker processes, com janelas oportunistas de execução de código onde a aleatorização de memória estiver fora.

A combinação de superfície gigantesca, exploração já observada e patch disponível torna o cenário típico de prioridade máxima para times de segurança. Quem mantém parques heterogêneos de NGINX, seja diretamente, seja embarcado em distribuições Linux ou em containers, tem janela curta para inventariar versões e aplicar a atualização da F5.