Celah Kritis NGINX Berusia 18 Tahun Terbongkar, Berpotensi Eksekusi Kode Jarak Jauh
Baca dalam 60 detik
- Kerentanan heap buffer overflow pada modul rewrite NGINX (CVE-2026-42945) memungkinkan penyerang tanpa autentikasi mengeksekusi kode berbahaya melalui permintaan HTTP yang dirancang khusus.
- Celah yang dijuluki NGINX Rift ini telah ada sejak 18 tahun dan mendapat skor CVSS 9,2; eksploitasi dapat menyebabkan denial-of-service atau pengambilalihan penuh server jika ASLR dinonaktifkan.
- F5 telah merilis perbaikan untuk NGINX Plus dan Open Source, namun pengguna yang belum memperbarui disarankan mengganti unnamed capture dengan named capture pada konfigurasi rewrite sebagai mitigasi sementara.
Peneliti keamanan siber dari depthfirst mengungkapkan celah kritis pada modul rewrite NGINX yang telah tidak terdeteksi selama 18 tahun. Kerentanan dengan kode CVE-2026-42945 ini memungkinkan penyerang tanpa autentikasi melakukan remote code execution (RCE) atau denial-of-service (DoS) melalui permintaan HTTP yang dimanipulasi.
Celah yang diberi nama NGINX Rift ini merupakan heap buffer overflow pada ngx_http_rewrite_module dengan skor CVSS v4 9,2. Menurut F5, kerentanan muncul ketika direktif rewrite diikuti oleh direktif rewrite, if, atau set yang menggunakan unnamed PCRE capture (seperti $1, $2) dengan string pengganti mengandung tanda tanya (?). Penyerang dapat mengirim permintaan HTTP khusus yang menyebabkan overflow pada heap worker process NGINX, berpotensi memicu restart atau eksekusi kode jika Address Space Layout Randomization (ASLR) dinonaktifkan.
Depthfirst menjelaskan bahwa kerentanan ini sangat berbahaya karena dapat dieksploitasi tanpa autentikasi, dapat diandalkan untuk memicu overflow, dan berpotensi mengarah pada RCE. "Penyerang yang dapat menjangkau server NGINX rentan melalui HTTP dapat mengirim satu permintaan yang meluapkan heap pada worker process dan mencapai eksekusi kode jarak jauh. Tidak ada langkah autentikasi, tidak ada persyaratan akses sebelumnya, dan tidak perlu sesi yang ada," ujar tim depthfirst. Mereka menambahkan bahwa byte yang ditulis melebihi alokasi berasal dari URI penyerang, sehingga korupsi dapat dibentuk sesuai keinginan penyerang, bukan acak. Permintaan berulang juga dapat membuat worker dalam crash loop dan menurunkan ketersediaan semua situs yang dilayani oleh instance tersebut.
Selain CVE-2026-42945, F5 juga menambal tiga kerentanan lain: CVE-2026-42946 (excessive memory allocation pada modul SCGI dan uWSGI), CVE-2026-40701 (use-after-free pada modul SSL), dan CVE-2026-42934 (out-of-bounds read pada modul charset). Semua kerentanan ini memungkinkan penyerang tanpa autentikasi menyebabkan restart worker process atau kebocoran memori dalam kondisi tertentu.
Perbaikan telah dirilis untuk berbagai produk, termasuk NGINX Open Source 1.30.1/1.31.0, NGINX Plus R32 P6/R36 P4, serta versi terbaru NGINX Instance Manager, WAF, Ingress Controller, dan Gateway Fabric. Bagi pengguna yang belum dapat melakukan pembaruan segera, depthfirst merekomendasikan untuk mengganti unnamed capture dengan named capture pada setiap direktif rewrite yang terdampak sebagai mitigasi sementara.
Depthfirst juga telah merilis proof-of-concept (PoC) exploit yang menggabungkan overflow NGINX dengan LFI/arbitrary-file-read primitive untuk melewati ASLR, memungkinkan RCE tanpa autentikasi pada server yang menggunakan direktif rewrite dan set. Hal ini menekankan urgensi penerapan patch untuk mencegah eksploitasi di lingkungan produksi.
