网络安全领域近日迎来重大发现,一款由初创企业DepthFirst研发的智能安全分析系统,成功识别出NGINX服务器中一个潜藏18年的高危漏洞,编号为CVE-2026-42945。该漏洞被国际通用漏洞披露系统评定为严重级别,CVSS评分达9.2分,全球约三分之一的网站服务器面临直接威胁。攻击者若利用此漏洞,可在未授权情况下远程执行任意代码,对目标系统形成完全控制。
技术溯源显示,该漏洞自2008年NGINX 0.6.27版本引入后持续存在,直至最新发布的1.30.0版本均未修复。漏洞核心存在于服务器重写模块的脚本处理机制中,由于双阶段解析流程存在设计缺陷,导致堆缓冲区溢出风险。安全专家指出,此类底层架构问题往往难以通过常规代码审计发现,需要深入理解模块交互逻辑才能定位。
此次漏洞发现过程凸显人工智能技术的突破性应用。DepthFirst系统在6小时内完成对NGINX核心代码的自主扫描,不仅识别出目标漏洞,还同步发现4个关联的内存损坏类安全问题。与传统安全工具相比,该系统展现出三大优势:能够解析复杂业务逻辑链、识别跨模块数据流异常、建立动态攻击路径模型。这些特性使其成功捕获多个被行业顶尖工具遗漏的隐蔽漏洞。
全球网络资产普查数据显示,当前暴露在公网的NGINX实例中,约1900万台存在该漏洞风险。地域分布呈现显著差异,美国以5340万历史累计受影响实例居首,中国以2540万紧随其后。值得关注的是,漏洞验证代码已通过非官方渠道公开传播,安全形势愈发严峻。研究人员特别提醒,同时使用rewrite指令和set指令的服务器配置场景风险最高,建议立即进行配置审查。
NGINX官方已紧急发布安全补丁,开源版本用户应升级至1.31.0或1.30.1,商业版NGINX Plus用户需同步更新至最新版本。安全机构建议企业采取三步应急措施:首先通过版本号比对确认受影响系统,其次检查服务器配置是否存在高危指令组合,最后在测试环境验证补丁兼容性后全面部署。对于无法立即升级的系统,可通过限制外部访问、启用WAF防护等临时措施降低风险。
