Un grupo de investigadores de seguridad de Depthfirst ha detectado una vulnerabilidad que afecta al módulo de reescritura de NGINX y que ha estado oculta durante 18 años. Se trata de un popular servidor web, por lo que son muchos los que pueden estar afectados por este problema. Vamos a explicarte qué puede ocurrir y qué deberías hacer para estar protegido en todo momento.
Puedes leer toda la información en la publicación con fecha de 13 de mayo en su web oficial. Allí explican todos los detalles relacionados con este descubrimiento. Afecta a NGINX Plus y NGINX Open. Son varias las vulnerabilidades que han detectado, pero una de ellas es más llamativa, ya que ha estado presente durante casi dos décadas.
Fallos de seguridad en NGINX
Esta vulnerabilidad de 18 años ha sido registrada como CVE-2026-42945 y ha recibido una puntuación de 9.2 en la escala CVSS v4, lo que nos demuestra la importancia que tiene. Consiste en un desbordamiento de búfer en el montón y afecta exactamente a ngx_http_rewrite_module.
En caso de que un atacante pudiera explotar este fallo, podría llevar a cabo la ejecución remota de código o provocar denegación de servicio al realizar solicitudes manipuladas. Según explican los investigadores de seguridad, esta vulnerabilidad se presenta cuando la directiva rewrite va seguida de una directiva rewrite, if o set y una captura de expresión regular compatible con Perl (PCRE) sin nombre (por ejemplo, $1, $2) con una cadena de reemplazo que incluye un signo de interrogación (?).
Un atacante, sin necesidad de estar autenticado, podría enviar solicitudes HTTP manipuladas y esto provocar un desbordamiento de búfer en el proceso de trabajo de NGINX. Esto podría derivar en reinicios e incluso la ejecución de código. Este fallo ha sido denominado como NGINX Rift.
Pero, ¿qué hace que este fallo sea tan relevante? El motivo es que NGINX se utiliza en muchas páginas web, APIs, en la nube, CDNs, NAS, domótica… Hay muchas infraestructuras que dependen de esto y estamos hablando de un fallo que ha estado presente durante 18 años.
