nginx爆超级漏洞,除了更新咋办啊
2026 年 5 月 13 日,安全研究机构 depthfirst 与 F5 联合披露了 NGINX 中一个编号为 CVE-2026-42945 的严重漏洞,CVSS v4.0 评分达 9.2。<br /><br />
<br />
<br />
受影响版本覆盖范围极广:<br />
NGINX Open Source 0.6.27 至 1.30.0 全系,NGINX Plus R32 至 R36,以及 NGINX Instance Manager、F5 WAF for NGINX、NGINX App Protect WAF/DoS、NGINX Gateway Fabric、NGINX Ingress Controller 等多个企业级产品均受影响。<br />
由于上述产品被大量部署于云原生 Kubernetes 集群的 Ingress 层及 API 网关场景,实际暴露面涉及全球数以亿计的生产服务器。<br />
<br />
已发布修复版本:NGINX Open Source 用户应升级至 1.31.0 或 1.30.1,NGINX Plus 用户应升级至 R36 P4 或 R32 P6,升级后需重启服务使补丁生效。<br />
<br />
<br />
<br />
除了升级还有招没 rewrite ^/api/(.*)$ /internal?migrated=true; # 重写规则末尾带 “?”<br />
set $original_endpoint $1; # 使用正则捕获组<br />
nginx配置文件不存在这个就没关系 今天一个vps安装阿帕奇老是端口冲突 打算安装 nginx的 一搜漏洞 还是老实安装搜解决方案 安装了阿帕奇 不用rewrite怕什么<img src="https://hostloc.com/static/image/smiley/default/lol.gif" smilieid="12" border="0" alt="" /> 听风就是雨是吧 <i class="pstatus"> 本帖最后由 mimiphp 于 2026-5-14 17:29 编辑 </i><br />
<br />
2026-05-13 <br />
nginx-1.30.1 稳定版和 nginx-1.31.0 主线版已发布,修复了 ngx_http_proxy_module 中的 HTTP/2 请求注入漏洞 (CVE-2026-42926)、 ngx_http_rewrite_module 中的 缓冲区溢出漏洞 (CVE-2026-42945)、 ngx_http_scgi_module 和 ngx_http_uwsgi_module 中的缓冲区 读取漏洞 (CVE-2026-42946)、ngx_http_charset_module 中的缓冲区读取漏洞 (CVE-2026-42934)、 HTTP/3 中的地址欺骗漏洞(CVE-2026-40460) 以及 OCSP 请求解析器中的释放后使用漏洞 (CVE-2026-40701)。此外,nginx-1.31.0 主线版本支持 HTTP 转发代理。https://nginx.org/ 官网已说明了。就是雨。没有风<br />
<br />
wnmp.org 已经同步更新 不用为静态,修复伪静态 5月13号下的还是nginx-1.30.0<br />
<br />
刚才去看了一下,果然更新成nginx-1.30.1了 昨天刚升级完 1.30.0 <img src="https://hostloc.com/static/image/smiley/default/mad.gif" smilieid="11" border="0" alt="" /> 宝塔没有新版下载我日,明天再说
页:
[1]
2