Kerentanan NGINX yang berusia 18 tahun memungkinkan DoS, potensi RCE

Cacat berusia 18 tahun pada server web sumber terbuka NGINX, ditemukan menggunakan sistem pemindaian otonom, dapat dieksploitasi untuk penolakan layanan dan, dalam kondisi tertentu, eksekusi kode jarak jauh.

Kerentanan dilacak sebagai CVE-2026-42945 dan menerima peringkat tingkat keparahan kritis 9,2, berdasarkan versi terbaru dari Common Vulnerability Scoring System (CVSS).

Tiga masalah keamanan kerusakan memori lainnya ditemukan dalam sesi pemindaian kode enam jam yang sama oleh para peneliti di perusahaan keamanan asli AI, DepthFirst AI.

NGINX adalah server web dan platform proxy terbalik yang banyak digunakan, mendukung sepertiga situs web peringkat teratas. Ini dapat menyeimbangkan beban secara efisien dengan mendistribusikan lalu lintas jaringan masuk ke beberapa server backend dan mengurangi waktu muat dengan menyimpan konten dalam cache.

Dimiliki dan dikelola oleh perusahaan teknologi Amerika F5, server web digunakan oleh penyedia cloud, perusahaan SaaS, bank, platform media, situs e-commerce, dan cluster Kubernetes.

CVE-2026-42945 adalah heap buffer overflow di ngx_http_rewrite_module yang memengaruhi NGINX versi 0.6.27 hingga 1.30.0, yang telah ada dalam kode proyek selama kurang lebih 18 tahun.

Menurut DepthFirst, kerentanan dapat dipicu ketika konfigurasi NGINX menggunakan arahan ‘rewrite’ dan ‘set’, sebuah pola yang menurut para peneliti umum terjadi pada gateway API dan pengaturan proxy terbalik.

Cacat ini berasal dari penanganan status yang tidak konsisten di mesin skrip internal NGINX, yang memproses penulisan ulang dalam dua tahap: satu untuk menghitung jumlah memori yang akan dialokasikan, dan satu lagi untuk menyalin data sebenarnya.

Flag ‘is_args’ tetap disetel setelah penulisan ulang yang berisi ‘?’, menyebabkan NGINX menghitung ukuran buffer menggunakan panjang URI yang tidak di-escape, namun kemudian menulis data escape yang lebih besar seperti ‘+’ dan ‘&’, sehingga menyebabkan heap buffer overflow.

Para peneliti mendemonstrasikan eksekusi kode yang tidak diautentikasi melalui permintaan HTTP yang dibuat khusus yang merusak struktur kumpulan memori NGINX yang berdekatan, menimpa penunjuk penangan pembersihan, menyemprotkan struktur palsu ke dalam memori melalui badan permintaan POST, dan memaksa NGINX untuk mengeksekusi ‘sistem()’ selama pembersihan kumpulan.

Namun, eksekusi kode jarak jauh dicapai pada sistem dengan perlindungan Address Space Layout Randomization (ASLR) terhadap serangan berbasis memori dimatikan. Pertahanan ini aktif secara default, namun dapat dinonaktifkan untuk meningkatkan kinerja di beberapa lingkungan, seperti sistem tertanam dan mesin virtual yang digunakan untuk analisis.

DepthFirst mencatat bahwa arsitektur multi-proses NGINX membuat eksploitasi lebih mudah karena proses pekerja mewarisi tata letak memori yang hampir sama dari proses master, memungkinkan manipulasi heap yang andal dan upaya berulang jika pekerja mengalami crash.

“Jika eksploitasi kami gagal dan membuat crash pekerja, proses master akan memunculkan pekerja baru dengan tata letak memori yang sama persis,” kata peneliti menjelaskan.

“Hal ini memungkinkan kami untuk mencoba beberapa kali dengan aman hingga kami berhasil tanpa khawatir pekerja akan mogok dan mengubah tata letak memori.”

“Secara teoritis, kami dapat memanfaatkan desain ini untuk membocorkan ASLR (Address Space Layout Randomization) dengan menimpa pointer secara bertahap byte demi byte.”

Tiga kelemahan lainnya yang ditemukan oleh DepthFirst mendapat peringkat tingkat keparahan sedang:

• CVE-2026-42946 — alokasi memori berlebihan dalam modul SCGI/UWSGI yang dapat menyebabkan crash pekerja melalui alokasi ~1 TB (keparahan tinggi)
• CVE-2026-40701 — penggunaan setelah bebas dalam penanganan resolusi DNS OCSP asinkron (tingkat keparahan sedang)
• CVE-2026-42934 — bug penguraian UTF-8 satu per satu yang menyebabkan pembacaan di luar batas (keparahan sedang)

Dampak dan perbaikan

Kerentanan ditemukan pada 18 April 2026, dan dilaporkan ke vendor pada 21 April.

Menurut penasihat keamanan F5dirilis kemarin, kelemahan ini berdampak pada build NGINX berikut:

• NGINX Open Source versi 0.6.27 hingga 1.30.0
• NGINX Ditambah R32 hingga R36
• Manajer Instans NGINX 2.16.0 hingga 2.21.1
• F5 WAF untuk NGINX 5.9.0 hingga 5.12.1
• NGINX App Protect WAF 4.9.0 hingga 4.16.0 dan 5.1.0 hingga 5.8.0
• F5 DoS untuk NGINX 4.8.0
• Aplikasi NGINX Lindungi DoS 4.3.0 hingga 4.7.0
• NGINX Gateway Fabric 1.3.0 hingga 1.6.2 dan 2.0.0 hingga 2.5.1
• NGINX Ingress Controller 3.5.0 hingga 3.7.2, 4.0.0 hingga 4.0.1, dan 5.0.0 hingga 5.4.1

Perbaikan tersedia di NGINX Open Source 1.31.0 dan 1.30.1, NGINX Plus R36 P4, dan NGINX Plus R32 P6.

Bagi mereka yang tidak dapat melakukan upgrade, F5 merekomendasikan untuk mengganti grup tangkapan PCRE yang tidak disebutkan namanya ($1, $2, dll.) dalam aturan ‘penulisan ulang’ yang rentan dengan tangkapan bernama, yang menghilangkan prasyarat eksploitasi utama.

Eksploitasi di dunia nyata

Beberapa peneliti keamanan telah menolak klaim eksploitasi di dunia nyata seputar CVE-2026-42945, dengan alasan bahwa bukti konsep DepthFirst bergantung pada kondisi yang sangat spesifik yang biasanya tidak ada dalam penerapan default.

Peneliti Kevin Beaumont mencatat bahwa eksploitasi memerlukan konfigurasi NGINX yang rentan menggunakan pola penulisan ulang tertentu, penyerang harus mengetahui atau menemukan titik akhir yang terpengaruh, dan RCE PoC yang diterbitkan diuji dengan ASLR dinonaktifkan.

Beaumont menekankan bahwa eksploitasi para peneliti dibuat berdasarkan pengaturan yang sengaja dibuat rentan dan tidak menunjukkan eksekusi kode yang andal terhadap sistem dunia nyata yang lebih tangguh.

AlmaLinux menggemakan a penilaian serupa dalam penasehat merekasetelah secara mandiri mereproduksi cacat tersebut.

Pengelola distribusi Linux mengkonfirmasi bahwa crash pada proses pekerja NGINX melalui permintaan yang dibuat adalah hal yang sepele dan dapat diandalkan, membuat serangan penolakan layanan menjadi realistis.

Namun, mereka menyatakan bahwa mengubah heap overflow menjadi eksekusi kode jarak jauh yang dapat diandalkan pada sistem dengan ASLR diaktifkan “bukanlah hal yang sepele,” dan mereka tidak mengharapkan eksploitasi yang umum dan dapat diandalkan muncul dari pekerjaan depthfirst.

Pada saat yang sama, AlmaLinux memperingatkan bahwa “tidak mudah” bukan berarti tidak mungkin, dan potensi DoS saja sudah cukup untuk menganggap masalah ini sebagai hal yang mendesak.