CVE-2026-42945 के लिए सक्रिय शोषण NGINX वर्कर्स को ध्वस्त कर रहा है

2026 May 19 प्रकाशित | स्पैनिश से अनुवादित

CVE-2026-42945 में NGINX की कमजोरी अब सैद्धांतिक नहीं रही। वास्तविक वातावरण में एक सक्रिय शोषण का पता चला है जो वर्कर प्रक्रियाओं को ध्वस्त कर देता है, जिससे सेवा से इनकार होता है। रिमोट कोड निष्पादन (RCE) का संभावित जोखिम इस दोष को वेब सर्वर प्रशासकों के लिए एक गंभीर खतरा बनाता है।

एक सिनेमाई तकनीकी चित्रण जिसमें NGINX सर्वर रैक को डोमिनोज़ की तरह ढहते हुए कई वर्कर प्रक्रिया आइकन के साथ दिखाया गया है, एक नेटवर्क टोपोलॉजी आरेख पर लाल चेतावनी ग्लिच प्रभाव फैल रहे हैं, एक टर्मिनल विंडो मास्टर प्रक्रिया को लक्षित करने वाले शोषण कोड इंजेक्शन प्रदर्शित कर रही है, जबकि एक चमकता लाल RCE पथ एक बाहरी हैकर सिल्हूट से सर्वर कोर तक जाता है, फोटोरियलिस्टिक इंजीनियरिंग विज़ुअलाइज़ेशन, नाटकीय लाल और काली रोशनी, अल्ट्रा-डिटेल्ड मदरबोर्ड घटक और फाइबर ऑप्टिक केबल, ढहते वर्कर नोड्स पर मोशन ब्लर, यथार्थवादी डेटा स्ट्रीम कण, अंधेरे औद्योगिक सर्वर कक्ष वातावरण

NGINX में दोष के तकनीकी विवरण 🛡️

यह कमजोरी दुर्भावनापूर्ण HTTP अनुरोधों के प्रबंधन में निहित है। शोषण वर्कर्स की साझा मेमोरी में एक रेस कंडीशन को मजबूर करता है, जिससे सेगमेंटेशन फॉल्ट होता है। हालांकि मुख्य हमला DoS है, शोध से संकेत मिलता है कि मेमोरी भ्रष्टाचार RCE की अनुमति दे सकता है। प्रभावित संस्करणों में हाल के सुरक्षा पैच के बिना NGINX 1.24.x और 1.25.x शामिल हैं। संस्करण 1.26.1 में अपडेट करने या शमन पैच लागू करने की अनुशंसा की जाती है।

वह वर्कर जो अनिर्धारित ब्रेक लेता है 😅

ऐसा लगता है कि NGINX के कुछ वर्कर्स ने बिना बताए हड़ताल करने का फैसला किया है। पेज परोसने के बजाय, वे एक दुर्भावनापूर्ण अनुरोध के सामने शान से ढहना पसंद करते हैं। यह ऐसा है जैसे वेटर, एक संदिग्ध ग्राहक को देखकर, ट्रे गिरा दे और घर चला जाए। अच्छा है कि यह सिर्फ एक तकनीकी दोष है, न कि सोमवार को काम न करने का बहाना।