NGINX 曝出重写模块堆缓冲区溢出漏洞(CVE-2026-9256,CVSS 8.1)。攻击者无需认证即可通过特制 http 请求触发漏洞,导致 NGINX 工作进程崩溃和信息泄露,并可能造成远程代码执行。

利用前置条件:

·         攻击者能够网络访问目标平台/服务器

·         目标 NGINX 使用了 rewrite 指令

·         该 rewrite 处于 redirect 或参数拼接(?)场景

·         该 rewrite 使用了重叠的 PCRE 捕获组(如 ^/((.*))$)

·         该 rewrite 的替换字符串同时引用多个捕获组(如 $1$2)
目前 360漏洞挖掘智能体已成功复现该漏洞。本文包含完整影响范围、修复方案、技术原理与复现细节,建议用户立即升级。

漏洞概述

漏洞名称

NGINX   ngx_http_rewrite_module 缓冲区溢出漏洞

漏洞编号

CVE-2026-9256

公开时间

2026-05-22

POC状态

已公开

漏洞类型

缓冲区溢出

EXP状态

未公开

利用可能性

技术细节状态

已公开

CVSS 3.1

8.1

在野利用状态

未发现

01

漏洞影响范围

受影响的软件版本:

NGINX Open Source 1.31.0

NGINX Open Source 1.0.0 <= 受影响版本 <= 1.30.1
NGINX Open Source 0.1.17 <= 受影响版本 <= 0.9.7

NGINX Plus 37.0.0

NGINX Plus R32 <= 受影响版本 <= R36

02

修复建议

正式防护方案

受影响用户请立即升级至以下安全版本:

NGINX Plus 升级至 37.0.1.1、R36 P5、R32 P7 版本

NGINX Open Source 升级至 1.31.1、1.30.2 版本

03

漏洞描述

近日,安全研究人员披露了 NGINX 中存在的堆缓冲区溢出漏洞(CVE-2026-9256)。该漏洞源于 NGINX 重写模块在运行时处理具有重叠捕获组的正则表达式时,未能正确计算所需的输出缓冲区大小。当重写指令使用存在重叠捕获组的正则表达式并在重定向或查询字符串替换中多次引用这些捕获时,系统对 URL 转义开销的预算偏小。攻击者通过发送包含大量需要 URL 转义字符的特制 HTTP 请求,可在写入缓冲区时触发堆溢出,进而导致工作进程崩溃重启。在成功绕过或关闭地址空间布局随机化(ASLR)的情况下,攻击者可借助该可控内存覆盖原语和相邻堆内存泄漏能力,可能实现任意代码执行。

04

漏洞复现

360漏洞研究院已成功复现 NGINX ngx_http_rewrite_module 缓冲区溢出漏洞(CVE-2026-9256),通过 POC 可远程未授权读取堆内存关键指针,并触发工作进程崩溃,验证了该漏洞可以实现信息泄露与 DoS 攻击。

CVE-2026-9256

NGINX ngx_http_rewrite_module 缓冲区溢出漏洞复现

05

产品侧支持情况

360安全智能体:支持该漏洞攻击的智能分析

360测绘云 Quake:默认支持该产品的指纹识别。

360高级持续性威胁预警系统:预计 2026年05月27日发布规则更新包,支持该漏洞利用行为的检测。

360资产与漏洞检测管理系统:预计 2026年05月27日发布规则更新包,支持该漏洞利用行为的检测。
本地安全大脑:默认支持该漏洞的PoC检测。

06

时间线 

2026年05月26日,360漏洞研究院发布本安全风险通告。

07

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2026-9256

https://my.f5.com/manage/s/article/K000161377

08

更多漏洞情报

扫描下方二维码,进入公众号粉丝交流群。更多一手网安资讯、漏洞预警、技术干货和技术交流等您参与!”

建议您订阅360数字安全-漏洞情报服务,获取更多漏洞情报详情以及处置建议,让您的企业远离漏洞威胁。

邮箱:[email protected]

网址:https://vi.loudongyun.360.net

360官网:https://www.360.cn/ 

洞”悉网络威胁,守护数字安全

关于我们

360 漏洞研究院,隶属于360数字安全集团。其成员常年入选谷歌、微软、华为等厂商的安全精英排行榜, 并获得谷歌、微软、苹果史上最高漏洞奖励。研究院是中国首个荣膺Pwnie Awards“史诗级成就奖”,并获得多个Pwnie Awards提名的组织。累计发现并协助修复谷歌、苹果、微软、华为、高通等全球顶级厂商CVE漏洞3000多个,收获诸多官方公开致谢。研究院也屡次受邀在BlackHat,Usenix Security,Defcon等极具影响力的工业安全峰会和顶级学术会议上分享研究成果,并多次斩获信创挑战赛、天府杯等顶级黑客大赛总冠军和单项冠军。研究院将凭借其在漏洞挖掘和安全攻防方面的强大技术实力,帮助各大企业厂商不断完善系统安全,为数字安全保驾护航,筑造数字时代的安全堡垒。

声明:本站(华域联盟www.cnhackhy.com)所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。