NGINX 曝出重写模块堆缓冲区溢出漏洞（CVE-2026-9256，CVSS 8.1）。攻击者无需认证即可通过特制 HTTP 请求触发漏洞，导致 NGINX 工作进程崩溃和信息泄露，并可能造成远程代码执行。
受影响用户请立即升级至以下安全版本：
NGINX Plus 升级至 37.0.1.1、R36 P5、R32 P7 版本
NGINX Open Source 升级至 1.31.1、1.30.2 版本NGINX 曝出重写模块堆缓冲区溢出漏洞（CVE-2026-9256，CVSS 8.1）。攻击者无需认证即可通过特制 HTTP 请求触发漏洞，导致 NGINX 工作进程崩溃和信息泄露，并可能造成远程代码执行。
利用前置条件：
攻击者能够网络访问目标平台/服务器
目标 NGINX 使用了 rewrite 指令
该 rewrite 处于 redirect 或参数拼接（?）场景
该 rewrite 使用了重叠的 PCRE 捕获组（如 ^/((.*))$）
该 rewrite 的替换字符串同时引用多个捕获组（如 $1$2）
NGINX Plus 升级至 37.0.1.1、R36 P5、R32 P7 版本
NGINX Open Source 升级至 1.31.1、1.30.2 版本 @全体成员