NGINX Rift: falha de 18 anos no servidor web mais implantado do mundo entra em exploração ativa
Vulnerabilidade crítica CVE-2026-42945, presente no NGINX desde 2008, foi explorada ativamente três dias após publicação de prova de conceito. Afeta todas as versões entre 0.6.27 e 1.30.0, responsáveis por 32,8% dos servidores web globais.
Cinco dias foram suficientes. Em 13 de maio de 2026, a F5 e a firma de pesquisa depthfirst divulgaram publicamente o CVE-2026-42945, batizado "NGINX Rift", uma falha crítica de transbordamento de buffer de heap no módulo de reescrita do NGINX. Um código de prova de conceito foi publicado no mesmo dia. Segundo a VulnCheck, tentativas de exploração ativas foram detectadas já em 16 de maio, três dias após a divulgação, e o HelpNetSecurity formalizou a confirmação de exploração em campo em 18 de maio de 2026. A janela entre publicação de exploit e ataque em produção encolheu para menos de uma semana.
A abrangência do problema é considerável. Segundo a W3Techs, em março de 2026 o NGINX respondia por 32,8% de todos os servidores web rastreados, liderança mantida à frente do Apache, com 24,1%. Todo esse universo de servidores, incluindo o NGINX Plus do R32 ao R36, estava exposto a um bug introduzido no NGINX 0.6.27 em 2008, há 18 anos.
A mecânica da falha
O CVE-2026-42945 reside no módulo ngx_http_rewrite_module, o componente responsável por processar diretivas de reescrita de URL. A falha ocorre quando uma regra combina uma captura PCRE sem nome, do tipo $1 ou $2, com um caractere de ponto de interrogação no texto de substituição. O motor de script calcula o tamanho do buffer de destino usando um método de escape e executa a escrita usando outro, incompatível. Caracteres como +, % e & expandem na segunda etapa, causando escrita além dos limites do heap alocado, sem qualquer autenticação prévia do atacante.
A CVSS v4 da vulnerabilidade é 9,2 e a CVSS v3.1 é 8,1. Em configurações padrão, o resultado é negação de serviço via uma única requisição HTTP malformada. O pesquisador Kevin Beaumont e a VulnCheck alertaram que, se o atacante conseguir desabilitar o ASLR no servidor-alvo, a falha pode ser escalada para execução remota de código sem necessidade de credenciais.
O longo ciclo de vida do bug se explica pelo caminho de código afetado, que exige uma combinação específica de diretivas ausente nas configurações de referência da documentação oficial. Administradores que replicaram exemplos padrão nunca ativaram o módulo de reescrita desta forma e permaneceram protegidos por acidente durante 18 anos.
Versões afetadas e remediação
A janela de exposição cobre todas as versões do NGINX Open Source entre 0.6.27 e 1.30.0, além do NGINX Plus R32 ao R36. A F5 lançou patches nas versões 1.30.1, na branch estável, e 1.31.0, na branch mainline, na data da divulgação, 13 de maio. Para equipes sem janela de manutenção imediata, existe uma mitigação configurável: substituir capturas PCRE sem nome por capturas com nome nas diretivas rewrite afetadas, eliminando a condição que leva ao transbordamento.
Ambientes Kubernetes que operam o ingress-nginx, o controlador de ingresso baseado em NGINX mais utilizado no ecossistema, estão no mesmo raio de exposição. O controlador processa reescritas de URL como função central, e instalações padrão de ingress-nginx com diretivas de reescrita configuradas ficam vulneráveis ao mesmo vetor. Administradores de plataforma precisam incluir no inventário de remediação as versões de NGINX embarcadas em imagens de container e charts Helm, não apenas as instalações diretas no sistema operacional.
Uma janela que já fechou para muitos
O prazo de três dias entre divulgação e primeiras explorações documentadas pela VulnCheck contrasta com o intervalo médio de 5 a 15 dias observado em vulnerabilidades críticas recentes de infraestrutura de servidor web. O dado é relevante para equipes de resposta: a janela segura de avaliação antes de exploração massiva praticamente desapareceu nesta classe de vulnerabilidade.
Plataformas de gestão de superfície de ataque como a Axonius e a Orca Security reportaram instâncias NGINX ainda não remediadas acessíveis via internet cinco dias após o patch. O padrão é comum em componentes de infraestrutura web amplamente implantados: versões legadas acumulam-se em imagens de container congeladas, em pipelines de CI/CD que não impõem renovação de base images e em servidores provisionados antes da adoção de práticas modernas de gestão de vulnerabilidades. Para organizações que operam plataformas de software para clientes, o NGINX Rift torna urgente um inventário transversal de versões deste servidor, incluindo o que está dentro de artefatos de build, não apenas o que está em execução.