Se insta a los usuarios de **NGINX** y **NGINX Plus** a aplicar los últimos parches tras los informes de explotación activa de **CVE-2026-42945**, un desbordamiento de búfer en el heap en el módulo `ngx_http_rewrite_module`. Esta vulnerabilidad afecta a las versiones de NGINX 0.6.27 a 1.30.0 y, según se informa, fue introducida en 2008. ### Detalles de la Vulnerabilidad en NGINX La vulnerabilidad, que tiene una puntuación CVSS de 9.2, podría permitir a un atacante no autenticado provocar fallos en el proceso de trabajo o potencialmente ejecutar código remoto a través de solicitudes HTTP manipuladas. Sin embargo, la ejecución remota de código (RCE) exitosa depende de que la Aleatorización del Espacio de Direcciones (ASLR) esté deshabilitada en el sistema objetivo. El investigador de seguridad Kevin Beaumont señaló que la explotación requiere una configuración específica de NGINX y que el atacante conozca dicha configuración. Los mantenedores de AlmaLinux se hicieron eco de esto, afirmando que si bien la ejecución de código fiable podría no ser trivial en configuraciones predeterminadas con ASLR habilitado, el riesgo de denegación de servicio (DoS) por caída del proceso de trabajo es lo suficientemente significativo como para requerir atención inmediata. **VulnCheck** ha confirmado intentos de explotación activa contra sus redes honeypot, aunque la naturaleza precisa y los objetivos de estos ataques siguen sin estar claros. Se recomienda encarecidamente a los usuarios que apliquen las últimas correcciones de **F5** para mitigar posibles amenazas. ### Fallos de openDCIM Bajo Ataque Activo En un desarrollo paralelo, **VulnCheck** también informó de la explotación activa de dos vulnerabilidades críticas en **openDCIM**, una aplicación de código abierto para la gestión de infraestructura de centros de datos. Ambas fallas tienen una puntuación CVSS de 9.3: * **CVE-2026-28515**: Una vulnerabilidad de autorización faltante que podría permitir a los usuarios autenticados acceder a la funcionalidad de configuración LDAP independientemente de los privilegios asignados. En implementaciones de Docker sin aplicación de autenticación, esto podría llevar a la modificación no autorizada de las configuraciones de la aplicación. * **CVE-2026-28517**: Una vulnerabilidad de inyección de comandos del sistema operativo en el componente `report_network_map.php`. Procesa el parámetro "dot" sin la sanitización adecuada, pasándolo directamente a un comando de shell, lo que potencialmente permite la ejecución de código arbitrario. Estas vulnerabilidades fueron descubiertas junto con **CVE-2026-28516**, una vulnerabilidad de inyección SQL en **openDCIM**, por el investigador de seguridad de **VulnCheck**, Valentin Lobstein. Lobstein demostró que estas tres fallas pueden encadenarse para lograr la ejecución remota de código a través de cinco solicitudes HTTP, generando finalmente un shell inverso. Caitlin Condon, vicepresidenta de investigación de seguridad en **VulnCheck**, declaró que la actividad observada de los atacantes se origina en una única dirección IP china y parece utilizar una implementación personalizada de la herramienta de descubrimiento de vulnerabilidades de IA Vulnhuntr para identificar instalaciones vulnerables antes de desplegar un web shell PHP.