Uma falha de 18 anos no servidor web open-source **NGINX**, descoberta usando um sistema de varredura autônomo, pode ser explorada para negação de serviço e, sob certas condições, execução remota de código. A vulnerabilidade é rastreada como **CVE-2026-42945** e recebeu uma classificação de severidade crítica de 9.2, com base na versão mais recente do Common Vulnerability Scoring System (**CVSS**). Mais três problemas de segurança de corrupção de memória foram descobertos na mesma sessão de varredura de código de seis horas por pesquisadores da empresa de segurança nativa de IA **DepthFirst AI**. O **NGINX** é uma plataforma de servidor web e proxy reverso massivamente utilizada, alimentando um terço dos sites mais bem classificados. Ele pode balancear eficientemente a carga distribuindo o tráfego de rede de entrada para vários servidores de backend e reduzir os tempos de carregamento armazenando conteúdo em cache. Propriedade e mantido pela empresa de tecnologia americana **F5**, o servidor web é usado por provedores de nuvem, empresas de SaaS, bancos, plataformas de mídia, sites de comércio eletrônico e em clusters Kubernetes. **CVE-2026-42945** é um heap buffer overflow no `ngx_http_rewrite_module` afetando as versões **NGINX** 0.6.27 a 1.30.0, que está no código do projeto há aproximadamente 18 anos. De acordo com a **DepthFirst**, a vulnerabilidade pode ser acionada quando as configurações do **NGINX** usam as diretivas ‘rewrite’ e ‘set’, um padrão que os pesquisadores dizem ser comum em gateways de API e configurações de proxy reverso. A falha decorre do tratamento inconsistente de estado no motor de script interno do **NGINX**, que processa reescritas em duas passagens: uma para calcular a quantidade de memória a ser alocada e outra para copiar os dados reais. Uma flag ‘is_args’ permanece definida após uma reescrita contendo ‘?’, fazendo com que o **NGINX** calcule o tamanho do buffer usando comprimentos de URI não escapados, mas depois escreva dados escapados maiores como ‘+’ e ‘&’, levando a um heap buffer overflow. Os pesquisadores demonstraram execução de código não autenticada via requisições HTTP especialmente criadas que corrompem estruturas adjacentes do pool de memória do **NGINX**, sobrescrevem ponteiros de manipuladores de limpeza, pulverizam estruturas falsas na memória via corpos de requisição POST e forçam o **NGINX** a executar `system()` durante a limpeza do pool. No entanto, a execução remota de código foi alcançada em um sistema com a proteção Address Space Layout Randomization (**ASLR**) contra ataques baseados em memória desativada. Essa defesa está ativa por padrão, mas pode ser desativada para aumentar o desempenho em alguns ambientes, como sistemas embarcados e máquinas virtuais usadas para análise. A **DepthFirst** observa que a arquitetura multi-processo do **NGINX** facilita a exploração, pois os processos de trabalho herdam layouts de memória quase idênticos do processo mestre, permitindo manipulação confiável do heap e tentativas repetidas caso um trabalhador falhe. "Se nosso exploit falhar e travar um trabalhador, o processo mestre simplesmente criará um novo com o mesmo layout de memória", explicam os pesquisadores. "Isso nos permite tentar várias vezes com segurança até que tenhamos sucesso, sem nos preocuparmos com o trabalhador travando e alterando o layout da memória." "Teoricamente, poderíamos alavancar esse design para vazar **ASLR** (Address Space Layout Randomization) sobrescrevendo progressivamente ponteiros byte a byte." As outras três falhas descobertas pela **DepthFirst** receberam uma classificação de severidade média: * **CVE-2026-42946** — alocação excessiva de memória nos módulos SCGI/UWSGI que pode travar trabalhadores via alocações de ~1 TB (alta severidade) * **CVE-2026-40701** — use-after-free no tratamento de resolução DNS OCSP assíncrona (severidade média) * **CVE-2026-42934** — bug de análise UTF-8 off-by-one causando leituras fora dos limites (severidade média) ### Impacto e Correções As vulnerabilidades foram descobertas em 18 de abril de 2026 e relatadas ao fornecedor em 21 de abril. De acordo com o aviso de segurança da **F5**, lançado ontem, as falhas afetam as seguintes compilações do **NGINX**: * **NGINX** Open Source versões 0.6.27 a 1.30.0 * **NGINX** Plus R32 a R36 * **NGINX** Instance Manager 2.16.0 a 2.21.1 * **F5** WAF para **NGINX** 5.9.0 a 5.12.1 * **NGINX** App Protect WAF 4.9.0 a 4.16.0 e 5.1.0 a 5.8.0 * **F5** DoS para **NGINX** 4.8.0 * **NGINX** App Protect DoS 4.3.0 a 4.7.0 * **NGINX** Gateway Fabric 1.3.0 a 1.6.2 e 2.0.0 a 2.5.1 * **NGINX** Ingress Controller 3.5.0 a 3.7.2, 4.0.0 a 4.0.1 e 5.0.0 a 5.4.1 As correções foram disponibilizadas no **NGINX** Open Source 1.31.0 e 1.30.1, **NGINX** Plus R36 P4 e **NGINX** Plus R32 P6. Para aqueles que não conseguem atualizar, a **F5** recomenda substituir grupos de captura PCRE sem nome ($1, $2, etc.) em regras ‘rewrite’ vulneráveis por capturas nomeadas, o que elimina o principal pré-requisito de exploração. ### Explotabilidade no Mundo Real Alguns pesquisadores de segurança questionaram as alegações de explotação no mundo real em torno de **CVE-2026-42945**, argumentando que a prova de conceito da **DepthFirst** depende de condições altamente específicas que não estão comumente presentes em implantações padrão. O pesquisador Kevin Beaumont observou que a explotação requer uma configuração **NGINX** vulnerável usando padrões de reescrita específicos, o atacante deve conhecer ou descobrir o endpoint afetado e o PoC de RCE publicado foi testado com **ASLR** desativado. Beaumont enfatizou que o exploit dos pesquisadores foi construído contra uma configuração deliberadamente vulnerável e não demonstra execução de código confiável contra sistemas reais endurecidos.  A **AlmaLinux** ecoou uma avaliação semelhante em seu aviso, após reproduzir independentemente a falha. Os mantenedores da distribuição Linux confirmaram que travar os processos de trabalho do **NGINX** via uma requisição criada é trivial e confiável, tornando os ataques de negação de serviço realistas. No entanto, eles afirmaram que transformar o heap overflow em execução remota de código confiável em sistemas com **ASLR** ativado "não é trivial" e eles não esperam que um exploit genérico e confiável surja do trabalho da **Depthfirst**. Ao mesmo tempo, a **AlmaLinux** alertou que "não é fácil" não significa impossível, e o potencial de DoS é suficiente por si só para tratar o problema como urgente. ## A Lacuna de Validação: Pentest Automatizado Responde a Uma Pergunta. Você Precisa de Seis. Ferramentas de pentest automatizado entregam valor real, mas foram criadas para responder a uma pergunta: um atacante pode se mover pela rede? Elas não foram criadas para testar se seus controles bloqueiam ameaças, se suas regras de detecção disparam ou se suas configurações de nuvem se sustentam. Este guia cobre as 6 superfícies que você realmente precisa validar. [Baixe Agora](https://hubs.li/Q048zztN0)