CSIRT Panam\u00e1 Aviso 2026-May-14: Vulnerabilidad Cr\u00edtica de Ejecuci\u00f3n Remota de C\u00f3digo en NGINX (NGINX Rift)
Gravedad: Cr\u00edtica
Identificador: CVE-2026-42945
Fecha de publicaci\u00f3n: 14 de mayo de 2026
\u00daltima revisi\u00f3n: 14 de mayo de 2026
Tecnolog\u00eda: NGINX Open Source, NGINX Plus<\/p>\n\n\n\n
I. Descripci\u00f3n
El CSIRT Panam\u00e1 ha tenido conocimiento sobre una vulnerabilidad de desbordamiento de b\u00fafer en el mont\u00f3n (Heap-based Buffer Overflow) que afecta al m\u00f3dulo ngx_http_rewrite_module de NGINX, denominada coloquialmente como “NGINX Rift”. Esta falla ha permanecido desapercibida durante aproximadamente 18 a\u00f1os y permite a un atacante remoto no autenticado provocar una Denegaci\u00f3n de Servicio (DoS) o lograr la Ejecuci\u00f3n Remota de C\u00f3digo (RCE).<\/p>\n\n\n\n
La vulnerabilidad se activa cuando la configuraci\u00f3n de NGINX utiliza la directiva rewrite seguida de directivas como rewrite, if o set, empleando capturas de expresiones regulares no nombradas (ej. $1, $2) y una cadena de reemplazo que contiene un signo de interrogaci\u00f3n (?).<\/p>\n\n\n\n
II. Sistemas Afectados
NGINX Open Source: Versiones desde la 0.6.27 hasta la 1.30.0.
NGINX Plus: Versiones R32 a R36.
NGINX Instance Manager: Versiones 2.16.0 a 2.21.1.
NGINX App Protect WAF: Diversas versiones (4.9.0 a 5.8.0).<\/p>\n\n\n\n
III. Impacto
Confidencialidad, Integridad y Disponibilidad: Alta.
Un atacante puede enviar una solicitud HTTP especialmente dise\u00f1ada para corromper la memoria del proceso worker de NGINX.
En sistemas donde la aleatorizaci\u00f3n del dise\u00f1o del espacio de direcciones (ASLR) est\u00e1 deshabilitada, el riesgo de ejecuci\u00f3n de comandos arbitrarios con los privilegios del servicio es inminente.
La explotaci\u00f3n continua puede resultar en un bucle de reinicios del servicio, afectando la disponibilidad de todos los sitios alojados.<\/p>\n\n\n\n
IV. Referencia a soluciones, herramientas e informaci\u00f3n
El CSIRT Panam\u00e1 recomienda a los administradores de sistemas y responsables de infraestructura cr\u00edtica realizar las siguientes acciones de forma inmediata:<\/p>\n\n\n\n
Actualizaci\u00f3n de Software:
Actualizar a las versiones que contienen el parche de seguridad:<\/p>\n\n\n\n
NGINX Open Source: Versiones 1.30.1 o 1.31.0 y superiores.
NGINX Plus: R32 P6 o R36 P4 y superiores.
Mitigaci\u00f3n Temporal (Si no se puede actualizar inmediatamente):
Si la actualizaci\u00f3n no es posible de inmediato, se sugiere revisar los archivos de configuraci\u00f3n (nginx.conf) y realizar lo siguiente:<\/p>\n\n\n\n
Identificar el uso de capturas no nombradas ($1, $2, etc.) en directivas rewrite. V.Referencias VI. Informaci\u00f3n de contacto CSIRT Panam\u00e1 Aviso 2026-May-14: Vulnerabilidad Cr\u00edtica de Ejecuci\u00f3n Remota de C\u00f3digo en NGINX (NGINX Rift)Gravedad: Cr\u00edticaIdentificador: CVE-2026-42945Fecha de publicaci\u00f3n: 14 de mayo de 2026\u00daltima revisi\u00f3n: 14 de mayo de 2026Tecnolog\u00eda: NGINX Open Source, NGINX Plus…<\/p>\n","protected":false},"author":5,"featured_media":5065,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[4],"tags":[208,73,80],"class_list":["post-5062","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avisos-de-seguridad","tag-nginx","tag-parches","tag-vulnerabilidad"],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/5062","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=5062"}],"version-history":[{"count":2,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/5062\/revisions"}],"predecessor-version":[{"id":5064,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/5062\/revisions\/5064"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/5065"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=5062"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=5062"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=5062"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
Reemplazar dichas capturas por capturas nombradas (Named Captures).
Ejemplo de riesgo: rewrite ^\/old\/(.)$ \/new\/$1? permanent; Ejemplo mitigado: rewrite ^\/old\/(?.<\/em>)$ \/new\/$name? permanent;<\/p>\n\n\n\n
CVE-2026-42945 (NVD\/MITRE)
Aviso de seguridad de F5 Networks
Reporte de vulnerabilidad: Cybersecurity News \/ The Hacker News.<\/p>\n\n\n\n
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: incidentes@cert.pa
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https:\/\/cert.pa
Key ID: 16F2B124<\/p>\n","protected":false},"excerpt":{"rendered":"