【缝隙公告】NGINX ngx_http_rewrite_module 堆缓冲区溢露马脚(CVE-2026-9256)

首页 > 安全钻研 > 安全传递 > 安全公告

【缝隙公告】NGINX ngx_http_rewrite_module 堆缓冲区溢露马脚(CVE-2026-9256)

颁布功夫 2026-05-26

一、缝隙概述

缝隙概述0526.png

NGINX是一款高机能开源Web服务器、反向代理及负载平衡软件，宽泛利用于互联网网站、API网关、云原生平台及边缘服务场景。NGINX支持HTTP/HTTPS代理、缓存、Rewrite规定、流量调度及安全节造等职能，具备高并发、低资源亏损及矫捷配置等特点，同时提供贸易版本NGINX Plus用于企业级利用部署。

2026年5月26日，宝运莱官方网站安全应急响应中心（VSRC）监测到NGINX Rewrite�？槎鸦撼迩缏堵斫�。该缝隙源于rewrite指令在处置蕴含沉叠PCRE捕获组的正则表白式时，对多个未定名捕获引用的内存处置存在缺点，攻击者可通过机关恶意HTTP要求触发NGINX Worker过程产生Heap-based Buffer Overflow，导致服务异常沉启或回绝服务。在禁用ASLR或攻击者可能绕过ASLR�；さ那榭鱿�，还可能进一步实现远程代码执行。该缝隙无需身份认证即可利用，可能导致业务中断、服务器失陷及敏感业务数据泄露。

二、影响领域

NGINX Plus 37.0.0

R32 <= NGINX Plus <= R36

NGINX Open Source 1.31.0

1.0.0 <= NGINX Open Source <= 1.30.1

0.1.17 <= NGINX Open Source <= 0.9.7

2.17.0 <= NGINX Instance Manager <= 2.22.0

5.9.0 <= F5 WAF for NGINX <= 5.13.0

5.2.0 <= NGINX App Protect WAF <= 5.8.0

4.10.0 <= NGINX App Protect WAF <= 4.16.0

F5 DoS for NGINX 4.9.0

4.3.0 <= NGINX App Protect DoS <= 4.7.0

2.0.0 <= NGINX Gateway Fabric <= 2.6.1

1.3.0 <= NGINX Gateway Fabric <= 1.6.2

5.0.0 <= NGINX Ingress Controller <= 5.4.2

4.0.0 <= NGINX Ingress Controller <= 4.0.1

3.5.0 <= NGINX Ingress Controller <= 3.7.2

三、安全措施

3.1 升级版本

官方已颁布建复补丁，以建复该缝隙。

NGINX Plus 37.x >= 37.0.1

NGINX Plus R36 >= R36 P5

NGINX Plus R32 >= R32 P7

NGINX Open Source >= 1.31.1

NGINX Open Source >= 1.30.2

对于0.x旧版本分支：

0.1.17 <= NGINX Open Source <= 0.9.7

官方已申明 Will not fix，建议升级至受支持的新版本分支。

由于NGINX Instance Manager、F5 WAF for NGINX、NGINX App Protect WAF、F5 DoS for NGINX、NGINX App Protect DoS、NGINX Gateway Fabric及NGINX Ingress Controller等产品依赖底层NGINX组件，建议同步升级其底层NGINX Open Source或NGINX Plus至已建复版本。

下载链接：

https://my.f5.com/manage/s/article/K000161377/

3.2 一时措施

在无法立即升级至官方建复版本的情况下，建议用户优先排查并调整NGINX配置中的rewrite规定，预防使用$1、$2等未定名PCRE捕获变量，改用定名捕获组进行参数引用；同时不容在rewrite规定中使用沉叠、嵌套或过于复杂的正则捕获逻辑，削减由表部可控URI或Query String触发异常内存处置的风险�？刹慰既缦路绞脚呐渲茫航玶ewrite ^/users/([0-9]+)/profile/(.*)$ /profile.php?id=$1&tab=$2 last调整为rewrite ^/users/(?[0-9]+)/profile/(?

.*)$ /profile.php?id=$user_id&tab=$section last。此表，建议在WAF或反向代理层限度异常长URI、异常Query String及疑似恶意要求，启用ASLR、DEP等系统内存�；せ�，并对NGINX Worker异常退出、Crash及频仍沉启行为配置监控诉警，定期审计NGINX配置文件，持续排查高风险rewrite规定。

3.3 通用建议

定期更新系统补丁，削减系统缝隙，提升服务器的安全性。

加强系统和网络的接见节造，批改防火墙战术，关关非必要的利用端口或服务，削减将危险服务（如SSH、RDP等）露出到公网，削减攻击面。

使用企业级安全产品，提升企业的网络安全机能。

加强系统用户和权限治理，启用多成分认证机造和最幼权限准则，用户和软件权限应维持在最低限度。

启用强密码战术并设置为定期批改。

3.4 参考链接

https://my.f5.com/manage/s/article/K000161377/

https://nvd.nist.gov/vuln/detail/CVE-2026-9256

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研