Pesquisadores de segurança divulgaram uma falha crítica no NGINX que permaneceu oculta por 18 anos e pode permitir execução remota de código sem autenticação em servidores vulneráveis. A vulnerabilidade, identificada como CVE-2026-42945 e apelidada de “NGINX Rift”, recebeu pontuação CVSS 9.2, considerada crítica.
O problema foi encontrado no módulo ngx_http_rewrite_module, responsável pelas regras de reescrita de URLs do NGINX. Segundo os pesquisadores da DepthFirst AI, a falha ocorre quando diretivas rewrite, if ou set utilizam capturas PCRE sem nome acompanhadas de strings contendo ponto de interrogação (?).
De acordo com os especialistas, invasores podem explorar a vulnerabilidade apenas enviando requisições HTTP maliciosas, sem necessidade de login ou interação do usuário. Dependendo da configuração do servidor, o exploit pode causar negação de serviço (DoS) ou até execução remota de código (RCE).
A falha afeta versões do NGINX Open Source entre 0.6.27 e 1.30.0, além do NGINX Plus e diversos produtos da F5 baseados na plataforma. Entre os sistemas impactados estão soluções de WAF, balanceadores de carga, gateways e controladores de Kubernetes.
Segundo a F5, as correções já foram disponibilizadas nas versões NGINX 1.31.0 e 1.30.1, além de updates específicos para o NGINX Plus. A empresa alertou que provas de conceito públicas já começaram a circular poucas horas após a divulgação oficial da vulnerabilidade.
O caso ganhou ainda mais atenção porque a descoberta foi realizada com auxílio de um sistema autônomo baseado em inteligência artificial desenvolvido pela startup DepthFirst AI. A plataforma identificou quatro falhas de corrupção de memória durante uma análise automatizada de apenas seis horas no código-fonte do NGINX.
Especialistas alertam que o impacto potencial é enorme, já que o NGINX é utilizado por aproximadamente um terço dos sites da internet, incluindo bancos, provedores de nuvem, plataformas SaaS, e-commerces e aplicações corporativas.
Administradores de sistemas são orientados a atualizar imediatamente os servidores afetados, revisar regras de rewrite vulneráveis e monitorar tentativas suspeitas de exploração enquanto patches são aplicados.
