Usuários de **NGINX** e **NGINX Plus** são instados a aplicar os patches mais recentes após relatos de exploração ativa da **CVE-2026-42945**, um buffer overflow na heap no `ngx_http_rewrite_module`. Esta vulnerabilidade afeta as versões do NGINX de 0.6.27 a 1.30.0 e foi supostamente introduzida em 2008. ### Detalhes da Vulnerabilidade do NGINX A vulnerabilidade, que possui uma pontuação CVSS de 9.2, poderia permitir que um atacante não autenticado acionasse travamentos do processo worker ou potencialmente executasse código remoto através de requisições HTTP especialmente criadas. No entanto, a execução remota de código (RCE) bem-sucedida depende da desativação do Address Space Layout Randomization (ASLR) no sistema alvo. O pesquisador de segurança Kevin Beaumont observou que a exploração requer uma configuração específica do NGINX e o conhecimento dessa configuração por parte do atacante. Mantenedores do AlmaLinux ecoaram isso, afirmando que, embora a execução de código confiável possa não ser trivial em configurações padrão com ASLR ativado, o risco de negação de serviço (DoS) por travamento do worker é significativo o suficiente para justificar atenção imediata. A **VulnCheck** confirmou tentativas de exploração ativa contra suas redes de honeypot, embora a natureza precisa e os objetivos desses ataques permaneçam incertos. Os usuários são fortemente aconselhados a aplicar as correções mais recentes da **F5** para mitigar ameaças potenciais. ### Falhas no openDCIM Sob Ataque Ativo Em um desenvolvimento paralelo, a **VulnCheck** também relatou exploração ativa de duas vulnerabilidades críticas no **openDCIM**, uma aplicação de código aberto para gerenciamento de infraestrutura de data center. Ambas as falhas possuem uma pontuação CVSS de 9.3: * **CVE-2026-28515**: Uma vulnerabilidade de autorização ausente que poderia permitir que usuários autenticados acessassem a funcionalidade de configuração LDAP, independentemente das permissões atribuídas. Em implantações Docker sem aplicação de autenticação, isso poderia levar à modificação não autorizada das configurações da aplicação. * **CVE-2026-28517**: Uma vulnerabilidade de injeção de comando do sistema operacional no componente `report_network_map.php`. Ele processa o parâmetro "dot" sem sanitização adequada, passando-o diretamente para um comando shell, potencialmente permitindo a execução arbitrária de código. Essas vulnerabilidades foram descobertas juntamente com a **CVE-2026-28516**, uma vulnerabilidade de injeção de SQL no **openDCIM**, pelo pesquisador de segurança da **VulnCheck** Valentin Lobstein. Lobstein demonstrou que essas três falhas podem ser encadeadas para alcançar a execução remota de código através de cinco requisições HTTP, culminando no spawn de um reverse shell. Caitlin Condon, vice-presidente de pesquisa de segurança na **VulnCheck**, afirmou que a atividade observada do atacante se origina de um único endereço IP chinês e parece utilizar uma implementação personalizada da ferramenta de descoberta de vulnerabilidades de IA Vulnhuntr para identificar instalações vulneráveis antes de implantar um web shell PHP.