NGINX Rift : RCE critique via un heap overflow vieux de 18 ans (CVE-2026-42945)

Fri, 15 May 2026 00:00:00 +0000

🔍 Contexte

Publié le 13 mai 2026 par Zhenpeng (Leo) Lin, chercheur chez DepthFirst AI, cet article présente les résultats d’une analyse autonome du code source de NGINX ayant conduit à la découverte de 4 vulnérabilités de corruption mémoire, dont une critique permettant une RCE non authentifiée.

🐛 Vulnérabilité principale : CVE-2026-42945

Type : Heap buffer overflow dans ngx_http_rewrite_module
CVSS : 9.2 (Critique)
Introduite en : 2008 (NGINX 0.6.27)
Versions affectées : NGINX Open Source 0.6.27 à 1.30.0, NGINX Plus R32-R36, NGINX Instance Manager, F5 WAF, NGINX App Protect WAF, NGINX Gateway Fabric, NGINX Ingress Controller
Condition de déclenchement : Utilisation conjointe des directives rewrite (avec ?) et set dans la configuration NGINX

⚙️ Cause racine

Le moteur de script NGINX utilise un processus en deux passes (calcul de longueur puis copie). Le flag e->is_args est positionné à 1 lors du traitement d’une directive rewrite contenant un ?, mais n’est jamais réinitialisé. Lors de la passe de calcul de longueur pour une directive set suivante, un sous-moteur le initialisé à zéro ignore l’échappement URI. Lors de la passe de copie, le moteur principal avec is_args=1 applique ngx_escape_uri, expandant chaque caractère spécial de 1 à 3 octets, dépassant le buffer alloué.

CVE-2026-42934 on CyberVeille

NGINX Rift : RCE critique via un heap overflow vieux de 18 ans (CVE-2026-42945)

🔍 Contexte

🐛 Vulnérabilité principale : CVE-2026-42945

⚙️ Cause racine