NGINX堆缓冲区溢出漏洞已经开始被黑客利用 安全公司提醒用户尽快升级

上周知名的开源反向代理服务器 NGINX 披露高危安全漏洞，该漏洞编号 CVE-2026-42945，漏洞评分达到 9.2 分，而且漏洞自 2008 年发布的 NGINX 0.6.27 版开始引入、潜伏 18 年后才被安全研究人员发现。

为修复该漏洞 F5 公司已经发布 NGINX 1.30.1 和 1.31.0 版进行修复，NGINX 在全球市场份额约有 30%，在如此高使用量的情况下，漏洞被披露后黑客也积极利用漏洞展开攻击，目前安全公司已经开始检测到黑客利用漏洞发起的攻击。



黑客开始试探性利用漏洞发起攻击：

致力于漏洞检测和蜜罐分析的安全平台 VulnCheck 提供的最新报告显示，目前已经有不少黑客开始积极利用漏洞展开攻击，该平台故意部署的蜜罐检测到针对 CVE-2026-42945 的利用，不过现阶段由于样本数量太少还无法判断攻击活动的性质和最终目标。

观测数据显示，目前全球至少有 570 万个尚未修复漏洞且暴露在互联网上的 NGINX 实例，其中中国和美国暴露的 NGINX 实例非常多，这些暴露的实例都会成为黑客的攻击目标，最终可能会被用来劫持服务器和窃取敏感数据。

不过利用漏洞也并不容易：

尽管攻击者只需要向 NGINX 发送精心构造的 HTTP 请求就可以利用漏洞，但本身漏洞触发也是存在条件的，漏洞依赖于特定的 NGINX 配置，攻击者需要先了解或发现这个配置才能配合利用漏洞。而要实现远程代码执行目的，目标服务器上的 ASLR 功能也必须被禁用。

ASLR 指的是地址空间布局随机化，这是用于防止基于内存攻击的安全措施，在启用 ASLR 的设备中漏洞无法被利用，像是 AlmaLinux 等发行版默认都启用 ASLR 用来提升安全性，所以在这些设备上即便 NGINX 暴露也不会被直接拿下。

当然不容易利用不等于不可以利用，像是工作进程崩溃的拒绝服务攻击 (会导致 NGINX 崩溃无法正常提供服务，但不会导致远程代码执行) 本身就很容易被利用，所以 AlmaLinux 项目的维护者仍然建议将升级 NGINX 作为紧急事项。