CSIRT Panamá Aviso 2026-May-14: Vulnerabilidad Crítica de Ejecución Remota de Código en NGINX (NGINX Rift)
Gravedad: Crítica
Identificador: CVE-2026-42945
Fecha de publicación: 14 de mayo de 2026
Última revisión: 14 de mayo de 2026
Tecnología: NGINX Open Source, NGINX Plus
I. Descripción
El CSIRT Panamá ha tenido conocimiento sobre una vulnerabilidad de desbordamiento de búfer en el montón (Heap-based Buffer Overflow) que afecta al módulo ngx_http_rewrite_module de NGINX, denominada coloquialmente como “NGINX Rift”. Esta falla ha permanecido desapercibida durante aproximadamente 18 años y permite a un atacante remoto no autenticado provocar una Denegación de Servicio (DoS) o lograr la Ejecución Remota de Código (RCE).
La vulnerabilidad se activa cuando la configuración de NGINX utiliza la directiva rewrite seguida de directivas como rewrite, if o set, empleando capturas de expresiones regulares no nombradas (ej. $1, $2) y una cadena de reemplazo que contiene un signo de interrogación (?).
II. Sistemas Afectados
NGINX Open Source: Versiones desde la 0.6.27 hasta la 1.30.0.
NGINX Plus: Versiones R32 a R36.
NGINX Instance Manager: Versiones 2.16.0 a 2.21.1.
NGINX App Protect WAF: Diversas versiones (4.9.0 a 5.8.0).
III. Impacto
Confidencialidad, Integridad y Disponibilidad: Alta.
Un atacante puede enviar una solicitud HTTP especialmente diseñada para corromper la memoria del proceso worker de NGINX.
En sistemas donde la aleatorización del diseño del espacio de direcciones (ASLR) está deshabilitada, el riesgo de ejecución de comandos arbitrarios con los privilegios del servicio es inminente.
La explotación continua puede resultar en un bucle de reinicios del servicio, afectando la disponibilidad de todos los sitios alojados.
IV. Referencia a soluciones, herramientas e información
El CSIRT Panamá recomienda a los administradores de sistemas y responsables de infraestructura crítica realizar las siguientes acciones de forma inmediata:
Actualización de Software:
Actualizar a las versiones que contienen el parche de seguridad:
NGINX Open Source: Versiones 1.30.1 o 1.31.0 y superiores.
NGINX Plus: R32 P6 o R36 P4 y superiores.
Mitigación Temporal (Si no se puede actualizar inmediatamente):
Si la actualización no es posible de inmediato, se sugiere revisar los archivos de configuración (nginx.conf) y realizar lo siguiente:
Identificar el uso de capturas no nombradas ($1, $2, etc.) en directivas rewrite.
Reemplazar dichas capturas por capturas nombradas (Named Captures).
Ejemplo de riesgo: rewrite ^/old/(.)$ /new/$1? permanent; Ejemplo mitigado: rewrite ^/old/(?.)$ /new/$name? permanent;
V.Referencias
CVE-2026-42945 (NVD/MITRE)
Aviso de seguridad de F5 Networks
Reporte de vulnerabilidad: Cybersecurity News / The Hacker News.
VI. Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: incidentes@cert.pa
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Key ID: 16F2B124