¿Qué es CVE-2026-42945?

CVE-2026-42945 es una vulnerabilidad de tipo heap buffer overflow en el módulo de reescritura de URL de NGINX (ngx_http_rewrite_module). Según el análisis de la empresa de seguridad depthfirst, esta falla fue introducida en el código de NGINX en el año 2008 y permaneció sin detectar durante 18 años, hasta su divulgación pública en mayo de 2026.

El impacto reportado es alto: con una solicitud HTTP especialmente construida, un atacante no autenticado puede:

• Hacer caer procesos worker de NGINX, generando una denegación de servicio (DoS) sobre el servidor web.
• Ejecutar código remoto (RCE) en escenarios donde la mitigación ASLR del sistema operativo está desactivada.

Datos clave de la vulnerabilidad

¿Cómo funciona el ataque?

La explotación requiere una configuración específica de NGINX que use directivas del módulo de reescritura (rewrite), y que el atacante conozca o pueda descubrir esa configuración. Cuando se cumplen las condiciones, una solicitud HTTP cuidadosamente diseñada puede provocar el desbordamiento, que en su escenario más leve termina con el proceso worker, y en el más grave permite ejecución de código en el contexto del usuario que corre NGINX.

¿Está siendo explotada en el mundo real?

Sí. VulnCheck reportó actividad de explotación detectada en sus redes de honeypot poco después de la divulgación pública. La naturaleza exacta de los objetivos finales todavía se está investigando, pero el patrón coincide con el ciclo habitual: tras la divulgación, los actores maliciosos buscan rápidamente servidores con configuraciones vulnerables expuestas a internet.

¿Cómo verifico si mi servidor está afectado?

Comprueba la versión de NGINX en tu servidor con el siguiente comando:

Si la versión está en el rango 0.6.27 a 1.30.0 y tu configuración utiliza directivas del módulo rewrite, tu servidor está potencialmente expuesto. Las versiones posteriores publicadas por F5 ya incluyen el parche.

Configuraciones que aumentan el riesgo

• NGINX expuesto directamente a internet sin proxy o WAF previo.
• Uso intensivo del módulo rewrite en archivos de configuración.
• ASLR deshabilitado en el kernel (poco común en distribuciones modernas, pero ocurre en entornos personalizados o contenedores antiguos).
• Falta de monitoreo sobre caídas inesperadas de workers.

¿Cómo me protejo de CVE-2026-42945?

1. Aplica el parche oficial de F5/NGINX lo antes posible. Esta es la única solución definitiva.
2. Verifica que ASLR esté habilitado en tu kernel. Puedes comprobarlo con:
   cat /proc/sys/kernel/randomize_va_space
   El valor debería ser 2 (full ASLR), que es el predeterminado en la mayoría de distribuciones Linux modernas.
3. Revisa tu configuración de NGINX y, si es posible, simplifica el uso del módulo rewrite hasta aplicar el parche.
4. Despliega un WAF delante de NGINX para filtrar solicitudes HTTP anómalas. Cloudflare, AWS WAF u otros servicios pueden mitigar muchos vectores antes de que lleguen al servidor.
5. Monitorea logs y procesos. Caídas repetidas de workers, errores de segmentación o reinicios anómalos deben investigarse de inmediato.

¿Qué otras vulnerabilidades aparecieron en paralelo?

VulnCheck reportó también explotación activa contra dos fallas críticas en openDCIM (una aplicación de gestión de infraestructura de centros de datos):

• CVE-2026-28515 (CVSS 9.3) — Falla de autorización que permite acceder a funcionalidad de configuración LDAP sin los privilegios correspondientes.
• CVE-2026-28517 (CVSS 9.3) — Inyección de comandos del sistema operativo en report_network_map.php que procesa un parámetro sin sanitización y permite ejecución arbitraria de código.

Estas fallas se pueden encadenar con una tercera (CVE-2026-28516, inyección SQL) para lograr ejecución remota de código en solo cinco solicitudes HTTP. Si tu infraestructura usa openDCIM, también debes parchar de inmediato.