NGINX Rift CVE-2026-42945 : la faille de 18 ans exploitée

Une bombe à retardement de 18 ans dans le serveur web le plus déployé au monde

Le 18 mai 2026, la communauté cybersécurité a confirmé l'exploitation active dans le monde réel de CVE-2026-42945, baptisée NGINX Rift. Cette vulnérabilité critique — notée 9,2 sur l'échelle CVSS v4 — réside dans le module ngx_http_rewrite_module de NGINX, le composant responsable de la réécriture d'URL et l'un des plus utilisés de l'écosystème. Ce qui rend cette affaire particulièrement frappante : la faille a été introduite en 2008 avec la version 0.6.27 de NGINX et n'a été découverte que dix-huit ans plus tard, passant sous le radar de milliers d'audits de sécurité.

La divulgation responsable a suivi une timeline rigoureuse. Le chercheur à l'origine de la découverte a notifié F5 (l'éditeur de NGINX) le 18 avril 2026. F5 a coordonné la correction et publié simultanément le patch et les détails techniques le 13 mai 2026. Trois jours seulement après la publication du proof-of-concept, le 16 mai, VulnCheck a observé les premières tentatives d'exploitation en conditions réelles. Help Net Security a confirmé l'exploitation active le 18 mai 2026.

Techniquement, la faille tient à une incohérence dans la gestion de l'état interne du moteur de scripts de NGINX lors du traitement des directives rewrite. NGINX effectue deux passes sur la chaîne de remplacement : lors de la première, il calcule la taille du tampon nécessaire en utilisant la longueur de l'URI non échappée. Lors de la seconde, il écrit les données avec un encodage différent qui peut produire des chaînes plus longues — notamment pour les caractères spéciaux comme +, % et &, qui s'expandent lors du réencodage. Résultat : l'écriture dépasse les limites du tampon alloué sur le tas (heap buffer overflow).

La condition de déclenchement est précise : la faille est exploitable uniquement lorsqu'une directive rewrite utilise des captures PCRE non nommées ($1, $2) avec un remplacement contenant un point d'interrogation, suivi d'une autre directive rewrite, if ou set. Cette combinaison est courante dans les configurations NGINX de production, notamment pour les applications PHP-FPM, les CMS WordPress ou les reverse proxies d'applications modernes.

L'impact est double. En configuration standard avec ASLR (Address Space Layout Randomization) activé — ce qui est le cas de la plupart des distributions Linux modernes — l'exploitation permet de provoquer de manière fiable un déni de service en plantant le processus worker de NGINX. Le service redémarre automatiquement, mais des requêtes répétées peuvent maintenir le serveur dans un état d'instabilité persistant. Sur des systèmes où l'ASLR est désactivé ou contourné — scénario possible dans des environnements conteneurisés mal configurés — l'attaquant peut théoriquement atteindre une exécution de code à distance sans authentification préalable.

L'étendue de la surface d'attaque est vertigineuse. Selon les données de Netcraft et W3Techs, NGINX est le serveur web le plus déployé mondialement, utilisé par environ 34 % des sites web actifs et par une proportion encore plus grande des infrastructures d'entreprise en tant que reverse proxy, load balancer ou passerelle API. La vulnérabilité couvre toutes les versions publiées sur dix-huit ans : NGINX Open Source 0.6.27 à 1.30.0 inclus, et NGINX Plus R32 à R36. Cela représente des centaines de millions d'instances potentiellement exposées, dont une grande partie est directement accessible depuis Internet.

F5 a publié les versions corrigées NGINX Open Source 1.28.0 et NGINX Plus R37. Pour les équipes qui ne peuvent pas appliquer le patch immédiatement, une mesure de mitigation existe : remplacer toutes les captures PCRE non nommées ($1, $2, etc.) par des captures nommées dans les blocs rewrite. Cette substitution élimine le chemin de code vulnérable sans impacter le comportement fonctionnel des règles de réécriture. Les distributions Linux majeures — AlmaLinux, Ubuntu, RHEL, Debian — ont déjà diffusé les paquets corrigés dans leurs dépôts officiels dès le 14 mai 2026.

Du côté des indicateurs de compromission, VulnCheck et Picus Security ont observé un volume croissant de requêtes HTTP spécialement forgées ciblant des endpoints vulnérables à NGINX Rift. Les tentatives proviennent principalement de scanners automatisés, suggérant que des acteurs malveillants cartographient la surface exposée avant de lancer des attaques ciblées. La CISA n'a pas encore ajouté CVE-2026-42945 à son catalogue Known Exploited Vulnerabilities au moment de la rédaction, mais les observateurs estiment que cette inscription est imminente compte tenu de l'exploitation confirmée dans le monde réel.

Pourquoi cette faille change la donne pour les équipes de sécurité

NGINX Rift illustre parfaitement la menace endémique des vulnérabilités à longue traîne dans les logiciels open source d'infrastructure. Une faille dormant depuis 2008 dans l'un des composants les plus critiques d'Internet est le cauchemar de tout RSSI : le risque était présent depuis le début, invisible, et potentiellement exploitable par n'importe quel attaquant disposant du bon proof-of-concept publiquement disponible.

Ce type de vulnérabilité soulève des questions fondamentales sur la surface d'attaque réelle des organisations. Contrairement aux CVE ciblant des applications métier rarement exposées directement à Internet, NGINX est, par définition, un composant de bord de réseau. Il reçoit chaque requête HTTP entrante avant tout filtrage applicatif. Une exploitation réussie au niveau du reverse proxy compromet potentiellement l'intégralité du trafic transitant — credentials, tokens d'API, données sensibles des utilisateurs.

Le délai entre la publication du patch (13 mai) et les premières exploitations observées (16 mai) — soit seulement 72 heures — rappelle l'urgence absolue d'un processus de patch management efficace pour les composants d'infrastructure exposés. Dans de nombreuses organisations, la mise à jour de NGINX implique des fenêtres de maintenance, des tests de non-régression sur les règles de réécriture et des validations multiples. Ce délai structurel devient un vecteur d'attaque en lui-même.

Pour les environnements Kubernetes et les architectures cloud-native, la problématique est amplifiée par la prolifération des instances NGINX déployées comme Ingress Controller. Chaque cluster Kubernetes utilisant ingress-nginx doit être évalué individuellement. HeroDevs a confirmé que CVE-2026-42945 affecte également Ingress NGINX Controller, l'implémentation Kubernetes utilisée dans des millions de clusters dans le monde.

Ce qu'il faut retenir

• Patcher immédiatement vers NGINX Open Source 1.28.0 ou NGINX Plus R37 — toutes les versions des 18 dernières années sont vulnérables.
• Si la mise à jour est impossible immédiatement, remplacer les captures PCRE non nommées ($1, $2) par des captures nommées dans les blocs rewrite pour neutraliser le vecteur d'attaque.
• Vérifier les Ingress Controllers Kubernetes et les instances NGINX Plus : chaque composant ngx_http_rewrite_module doit être considéré comme exposé jusqu'à preuve du contraire.