我怕有些人村里没有通网所以，才发布一下，

# 安全通告：NGINX Rift 严重漏洞（CVE-2026-42945）

**CVSS 9.2（严重） · 堆缓冲区溢出

## 漏洞概述

NGINX 的 `ngx_http_rewrite_module` 模块存在一个潜伏 18 年的堆溢出漏洞。未经身份认证的远程攻击者可通过构造特定 HTTP 请求，导致工作进程崩溃或实现远程代码执行（RCE），无需任何前置权限。

## 影响版本

– **NGINX Open Source**：0.6.27 — 1.30.0

– **NGINX Plus**：R32 — R36

– **其他受影响产品**：NGINX Instance Manager、F5 WAF for NGINX、NGINX App Protect WAF/DoS、NGINX Gateway Fabric、NGINX Ingress Controller 等（详见 F5 公告 K000161019）

## 触发条件

`rewrite` 指令中使用未命名捕获组（`$1`、`$2`），替换字符串包含问号 `?`，且后续紧跟 `rewrite`、`if` 或 `set` 指令。

## 修复方案

**立即升级至以下版本之一并重启服务：**

产品 修复版本