Уязвимость CVE-2026-42945 в NGINX перестала быть теоретической. В реальных средах обнаружен активный эксплойт, вызывающий крах рабочих процессов (worker) и приводящий к отказам в обслуживании. Потенциальный риск удаленного выполнения кода (RCE) превращает эту ошибку в серьезную угрозу для администраторов веб-серверов.
Технические детали ошибки в NGINX 🛡️
Уязвимость заключается в обработке некорректных HTTP-запросов. Эксплойт вызывает состояние гонки в общей памяти рабочих процессов, приводящее к ошибке сегментации (segmentation fault). Хотя основная атака — это DoS, исследования показывают, что повреждение памяти может позволить RCE. Затронутые версии включают NGINX 1.24.x и 1.25.x без последних исправлений безопасности. Рекомендуется обновиться до версии 1.26.1 или применить патч для смягчения последствий.
Рабочий процесс, устроивший незапланированный перерыв 😅
Похоже, некоторые рабочие процессы NGINX решили устроить забастовку без предупреждения. Вместо того чтобы обслуживать страницы, они предпочитают элегантно рухнуть при получении вредоносного запроса. Это как если бы официант, увидев подозрительного клиента, уронил поднос и ушел домой. Хорошо, что это всего лишь техническая неисправность, а не оправдание, чтобы не работать по понедельникам.