En bref

  • CVE-2026-42945 (CVSS 9.2) : heap buffer overflow dans le module Rewrite de NGINX, présent depuis 18 ans, permettant un RCE sans authentification via une requête HTTP forgée
  • Versions affectées : NGINX Open Source 0.6.27 à 1.30.0 et NGINX Plus R32 à R36 — des dizaines de millions de serveurs dans le monde
  • Action urgente : mettre à jour NGINX vers la version 1.30.1 ou 1.31.0 (Open Source) ou R32 P6 / R36 P4 (Plus) — exploitation active confirmée, PoC public disponible

Les faits

Les chercheurs en sécurité de Picus Security ont divulgué CVE-2026-42945, baptisée NGINX Rift, une vulnérabilité critique notée CVSS 9.2 (échelle CVSSv4) affectant le module de réécriture d'URL (ngx_http_rewrite_module) de NGINX, l'un des serveurs web et proxys inverses les plus répandus au monde. Ce défaut, présent dans le code source depuis la version 0.6.27 publiée en 2007, soit plus de 18 années de présence silencieuse, permet à un attaquant non authentifié d'exécuter du code arbitraire ou de provoquer un déni de service sur tout serveur NGINX configuré avec des directives rewrite vulnérables, via une simple requête HTTP spécialement construite.

La cause racine de CVE-2026-42945 réside dans une incohérence de la logique d'échappement implémentée dans le moteur Rewrite de NGINX. Trois conditions doivent être réunies simultanément dans la configuration du serveur pour déclencher la faille : premièrement, une directive rewrite utilisant une capture PCRE sans nom (variables $1 ou $2) ; deuxièmement, une chaîne de remplacement contenant un point d'interrogation ; troisièmement, une seconde directive rewrite, if ou set dans le même scope de configuration. Lorsque ces trois conditions sont satisfaites, NGINX calcule la taille du tampon de destination heap sous un jeu d'hypothèses, puis effectue la copie des données sous un jeu d'hypothèses différent — l'incohérence permet à des octets dérivés d'un URI contrôlé par l'attaquant de dépasser la limite du tampon alloué dans le processus worker.

Le Proof of Concept (PoC) public divulgué par Picus Security illustre précisément la mécanique d'exploitation. La charge utile démontrée se compose de 349 octets de rembourrage sécurisé suivis de 2 000 caractères encodés URI (format %XX). Cette combinaison tire parti du désalignement d'état dans le moteur Rewrite pour provoquer un débordement déterministe de 4 000 octets dans le heap du processus worker NGINX, corrompant les métadonnées adjacentes de la bibliothèque glibc. Dans les configurations où ASLR (Address Space Layout Randomization) est désactivé ou présente des faiblesses, ce débordement peut être transformé en exécution de code arbitraire avec les privilèges du processus worker NGINX — typiquement l'utilisateur nginx ou www-data sur les systèmes Linux.

La surface d'exposition de CVE-2026-42945 est massive. Selon les statistiques W3Techs de mai 2026, NGINX est utilisé par plus de 34 % des serveurs web mondiaux, ce qui représente des dizaines de millions d'instances actives. Les versions affectées couvrent NGINX Open Source depuis 0.6.27 jusqu'à 1.30.0 incluse — soit virtuellement toutes les versions stables publiées depuis 2007 jusqu'à la version stable la plus récente avant le correctif. Pour NGINX Plus, les versions R32 à R36 sont concernées. Les distributions Linux majeures (Debian, Ubuntu, CentOS, RHEL, Alpine) distribuent des packages NGINX dans les versions affectées ; leurs mainteneurs ont été notifiés dans le cadre du processus de divulgation coordonnée.

La criticité de la vulnérabilité est renforcée par la banalité des configurations NGINX déclenchant la faille. Les directives rewrite avec captures PCRE ($1, $2) suivies d'un point d'interrogation sont extrêmement fréquentes dans les configurations de proxys inverses, de redirections d'URLs canoniques SEO, et de routage d'applications web. Des milliers de tutoriels et de configurations d'exemple publiés depuis 2007 reproduisent exactement la combinaison de directives vulnérables. En d'autres termes, de nombreux administrateurs système qui ont suivi les recommandations officielles de l'époque se retrouvent avec une configuration exploitable sans le savoir, créant une surface d'attaque diffuse et sous-évaluée.

L'exploitation active de CVE-2026-42945 a été confirmée par Security Affairs peu après la divulgation publique, selon les informations publiées par Orca Security et SOCPrime. Des scans automatisés à la recherche de configurations NGINX vulnérables ont été détectés sur l'ensemble d'Internet. La disponibilité du PoC public abaisse considérablement le niveau de compétence technique requis pour exploiter la faille, ouvrant la porte à des acteurs peu sophistiqués (ransomware-as-a-service, script kiddies) en plus des groupes APT disposant de capacités offensives avancées.

L'impact observé varie selon les environnements cibles. Dans sa forme la moins sévère, l'overflow provoque un crash du processus worker de NGINX (DoS partiel), automatiquement redémarré par le processus maître — cela génère des erreurs 502/504 passagères visibles dans les logs d'accès. Dans sa forme la plus sévère, notamment sur des systèmes avec ASLR faible ou désactivé, l'exploitation débouche sur une RCE avec les droits du processus worker. Un attaquant ayant obtenu ce point de pied peut ensuite tenter d'escalader ses privilèges vers root en exploitant des vulnérabilités locales connues, d'accéder aux fichiers de configuration contenant des credentials de bases de données, clés API ou certificats privés TLS, et de pivoter latéralement dans l'infrastructure backend.

D'après Axonius et Tenable, les équipes SOC doivent surveiller les logs d'accès NGINX à la recherche de requêtes GET ou POST comportant des URI avec une haute densité de caractères encodés %XX dans les chemins traités par des directives rewrite. Des pics inhabituels d'erreurs 500 ou de redémarrages du processus nginx dans les logs système (journalctl -u nginx) peuvent également indiquer des tentatives d'exploitation en cours ayant déclenché des crashes sans aboutir à une RCE complète. NGINX Rift a été comparé à Log4Shell par certains chercheurs en raison de la combinaison entre l'ancienneté de la faille, sa présence quasi-universelle dans les configurations réelles et la disponibilité immédiate d'un PoC public.

Impact et exposition

CVE-2026-42945 concerne toute organisation opérant des serveurs NGINX Open Source dans les versions 0.6.27 à 1.30.0, ou NGINX Plus R32 à R36, avec des configurations Rewrite incluant des captures PCRE sans nom et un point d'interrogation dans la chaîne de remplacement. La prévalence de ces configurations dans les déploiements réels — issues de tutoriels, de templates DevOps et de recommandations officielles de l'époque — élève considérablement la proportion d'instances effectivement vulnérables au sein du parc global. Les infrastructures cloud et les déploiements Kubernetes utilisant des Ingress Controllers NGINX sont également dans le périmètre de risque.

Les cibles prioritaires des attaquants sont les serveurs NGINX exposés sur Internet hébergeant des applications à haute valeur : portails d'authentification, API backends, applications bancaires, plateformes e-commerce. La nature zero-auth de l'exploit permet des attaques entièrement automatisées à l'échelle d'Internet. Des honeypots déployés par Orca Security ont enregistré des tentatives d'exploitation de CVE-2026-42945 dans les heures suivant la divulgation publique du PoC, confirmant l'urgence absolue du patching.

Le risque de déni de service massif sur des serveurs NGINX non patchés est immédiat — même les tentatives d'exploitation ratées provoquent des crashes de workers, affectant la disponibilité des services. Le risque de RCE complète reste conditionné à l'environnement système (ASLR, configuration glibc), mais est réel et démontré par le PoC public. Les organisations hébergeant des données personnelles (RGPD) ou sensibles ont une obligation de remédiation immédiate.

Recommandations immédiates

  • Mettre à jour NGINX Open Source vers la version 1.30.1 ou 1.31.0 — advisory : NGINX Security Advisory CVE-2026-42945 (Nginx Inc.)
  • Pour NGINX Plus : appliquer les patches R32 P6 ou R36 P4 — contacter le support NGINX/F5
  • Sur Debian/Ubuntu : apt update && apt upgrade nginx dès que les paquets corrigés sont disponibles dans les dépôts officiels
  • Sur RHEL/CentOS/Rocky : yum update nginx ou via les dépôts NGINX officiels
  • Auditer les configurations vulnérables avant le patch : grep -rn "rewrite" /etc/nginx/ | grep -E "\\$[0-9]" pour identifier les directives avec captures PCRE
  • En attendant le patch, déployer des règles WAF filtrant les requêtes avec haute densité de caractères URI-encodés (%XX) vers les endpoints avec directives rewrite
  • Activer les signatures IPS CVE-2026-42945 disponibles chez les éditeurs Crowdstrike, Palo Alto et Fortinet
  • Pour les Kubernetes Ingress Controllers NGINX : mettre à jour l'image vers le tag 1.30.1 ou ultérieur

⚠️ Urgence

CVE-2026-42945 NGINX Rift est activement exploitée avec PoC public disponible. Des dizaines de millions de serveurs sont potentiellement vulnérables. Des tentatives d'exploitation ont été confirmées dans les heures suivant la divulgation. Patcher immédiatement — ne pas attendre la prochaine fenêtre de maintenance.

Comment savoir si je suis vulnérable ?

Vérifiez votre version NGINX : nginx -v — si inférieure à 1.30.1, vous êtes potentiellement vulnérable. Auditez vos configurations pour détecter les patterns vulnérables : grep -rn "rewrite" /etc/nginx/ puis recherchez les blocs contenant simultanément une capture $1/$2, un point d'interrogation dans la chaîne de remplacement, et une seconde directive rewrite/if/set dans le même bloc. Les Kubernetes Ingress Controllers NGINX basés sur les images officielles avant le tag 1.30.1 sont également affectés — vérifiez avec kubectl get pods -o jsonpath='{.spec.containers[*].image}'.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit