CVE-2026-42945: NGINX-də 18 il gizli qalan kritik təhlükəsizlik boşluğu aşkarlanıb

NGINX Open Source və NGINX Plus məhsullarında kritik təhlükəsizlik boşluğu aşkarlanıb. CVE-2026-42945 identifikatoru ilə izlənilən və “NGINX Rift” adlandırılan zəiflik ngx_http_rewrite_module komponentində heap əsaslı bufer daşması (buffer overflow) ilə əlaqəlidir.

Məlumata görə boşluq təxminən 18 il ərzində NGINX kod bazasında mövcud olub və autentifikasiya tələb olunmadan xüsusi hazırlanmış HTTP sorğuları vasitəsilə istismar edilə bilər. Uğurlu istismar nəticəsində NGINX worker proseslərinin sıradan çıxması, tətbiq səviyyəsində xidmətin əlçatanlığının pozulması (DoS) və müəyyən şərtlər daxilində uzaqdan kod icrası mümkün ola bilər. Uzaqdan kod icrası ssenarisinin əsasən ASLR müdafiə mexanizminin deaktiv olduğu sistemlərdə mümkün olduğu qeyd edilir.

Araşdırmalara əsasən zəiflik müəyyən rewrite qaydalarının emalı zamanı yaranır. Xüsusilə $1, $2 kimi adsız PCRE capture qruplarından istifadə edilən və sual işarəsi (?) ehtiva edən rewrite qaydaları risk yaradır. Problem NGINX-in daxili script engine mexanizmində yaddaş ölçüsünün hesablanması və məlumatın yaddaşa köçürülməsi mərhələləri arasındakı uyğunsuzluqdan qaynaqlanır. Nəticədə ayrılmış heap yaddaş sahəsinin sərhədindən kənara hücumçu tərəfindən idarə olunan məlumatların yazılması mümkün olur.

Qeyd olunur ki, NGINX reverse proxy, API gateway, yük balanslaşdırıcı, SaaS platformaları, Kubernetes infrastrukturu və bulud xidmətlərində geniş istifadə olunduğundan boşluğun təsir dairəsi olduqca geniş qiymətləndirilir. Statistik məlumatlara əsasən NGINX internet üzərində fəaliyyət göstərən veb resursların əhəmiyyətli hissəsində istifadə olunur.

Boşluğun istismarını nümayiş etdirən PoC (Proof-of-Concept) kodu GitHub platformasında yayımlanıb: Github linki. Bu isə yaxın dövrdə boşluğun aktiv şəkildə istismar olunması riskini artırır.

Bundan əlavə, eyni araşdırma çərçivəsində digər yaddaş korlanması (memory corruption) boşluqları da aşkarlanıb. Bunlar arasında CVE-2026-42946, CVE-2026-40701 və CVE-2026-42934 identifikatorlu zəifliklər yer alır.

CVE-2026-42945 boşluğu NGINX Open Source 0.6.27–1.30.0 və NGINX Plus R32–R36 versiyalarına təsir edir və problemin aradan qaldırılması üçün istifadəçilərə NGINX Open Source 1.30.1 və 1.31.0+, həmçinin NGINX Plus R32 P6 və R36 P4 versiyalarına yenilənmə tövsiyə olunur.