CVE-2026-42945는 NGINX의 ngx_http_rewrite_module에서 발생하는 Heap Buffer Overflow 취약점으로, 2008년 버전 0.6.27에 처음 도입된 코드에 18년간 잠재해 있던 이슈다. 인증 없이 원격에서 조작된 HTTP 요청만으로 NGINX Worker 프로세스를 비정상 종료(DoS)시킬 수 있으며, ASLR이 비활성화된 환경에서는 원격 코드 실행(RCE)까지 가능하다.
해당 취약점은 depthfirst의 AI 기반 자동화 분석 시스템에 의해 최초 발견되었으며, 2026년 5월 13일 F5와의 협력 공시를 통해 패치와 함께 공개되었다. 공개 당일 GitHub에 PoC 익스플로잇(Nginx-Rift)이 게시된 만큼 빠른 조치가 필요하다.
| 취약점 | 상세내용 |
|---|---|
| 취약점 공개일 | 2026년 5월 13일 |
| 취약점 점수 | CVSS 4.0: 9.2 CRITICAL / CVSS 3.1: 8.1 HIGH |
| 설명 | ngx_http_rewrite_module의 버퍼 크기 계산 로직 불일치로 인한 Heap Buffer Overflow (CWE-122) |
| 취약점 영향 제품 | NGINX Open Source 0.6.27 ~ 1.30.0 / NGINX Plus R32 ~ R36 / NGINX Instance Manager 2.16.0 ~ 2.21.1 / NGINX Gateway Fabric 1.3.0 ~ 2.5.1 / NGINX Ingress Controller 3.5.0 ~ 5.4.1 / NGINX App Protect WAF·DoS 등 |
| 악용 사례 | 공개 시점 기준 실제 악용 사례 없음. PoC는 GitHub 공개 상태 |
| 날짜 | 이벤트 |
|---|---|
| 📍 2008년 | NGINX 0.6.27에 취약한 코드(ngx_http_rewrite_module) 도입 |
| 📍 2026년 5월 초 | depthfirst AI 분석 시스템이 NGINX 소스코드에서 취약점 자율 발견 |
| 📍 2026년 5월 13일 | F5 협력 공시 / 패치 버전 배포 / CVE 등록 (NVD) |
| 📍 2026년 5월 13일 | PoC 익스플로잇 Nginx-Rift GitHub 공개 |
설정 파일 점검
아래 조건이 동시에 존재하는 경우 취약한 설정에 해당한다.
rewrite 지시자에 이름 없는 캡처 그룹($1, $2) 사용? 포함rewrite, if, set 지시자가 뒤따름# 취약한 패턴 예시
rewrite ^/users/([0-9]+)/profile/(.*)$ /profile.php?id=$1&tab=$2 last;
?, +, % 등 특수문자가 대량 포함된 URI 요청 급증segmentation fault, SIGABRT)