近期,网络安全领域再次聚焦于一个“老”漏洞的新动态。据VulnCheck安全团队披露,一个影响NGINX Plus及开源版本的堆缓冲区溢出漏洞(编号CVE-2026-42945)在公开披露后数日内,已在真实网络环境中被监测到攻击尝试。该漏洞潜伏于ngx_http_rewrite_module模块中,影响范围广泛,涉及从0.6.27至1.30.0的多个历史版本。值得关注的是,AI原生安全厂商depthfirst通过代码溯源分析指出,该漏洞的根源可追溯至2008年的一次代码提交,堪称一个潜伏长达十余年的“历史遗留”安全问题。
漏洞利用条件深度解析
概括而言,未经身份验证的攻击者可通过发送特制的HTTP请求,触发NGINX工作进程崩溃。然而,业界更关注的是该漏洞是否可能导致远程代码执行(RCE)。目前分析表明:存在理论可能,但实际利用门槛较高。
要实现完整的RCE攻击,攻击者必须同时满足两项严苛前提:其一,目标系统需禁用地址空间布局随机化(ASLR)这一核心内存防护机制;其二,攻击者还需预先获取目标服务器上特定的、易受攻击的NGINX配置信息。
安全研究员Kevin Beaumont对此评价道:“实现远程代码执行不仅依赖特定配置,攻击者还需精确知晓配置内容。更重要的是,若系统已启用ASLR——例如所有受支持的AlmaLinux发行版均默认开启——则漏洞的稳定利用将极为困难。”AlmaLinux维护团队进一步强调,尽管完整RCE利用链构建难度大,但仅触发进程崩溃的拒绝服务攻击已构成实质性威胁,建议所有受影响用户立即采取修复措施。
野外攻击态势追踪
虽然VulnCheck的威胁情报网络已捕获针对该漏洞的攻击尝试,但攻击者的最终意图与具体目标尚未明确。无论如何,官方补丁已由F公司发布,最安全的应对策略仍是尽快升级至已修复的安全版本。
openDCIM三重漏洞链式攻击剖析
同期,VulnCheck还披露了针对另一款开源软件——数据中心基础设施管理平台openDCIM的活跃攻击活动。攻击者利用两个高危漏洞(CVSS评分均为9.3),形成组合式攻击链。
第一个是CVE-2026-28515,属于权限缺失漏洞。已认证用户可越权访问LDAP配置功能。在Docker部署场景下,若管理员未强制实施REMOTE_USER认证,攻击者甚至可在无需任何凭证的情况下直接篡改应用配置。
第二个是CVE-2026-28517,为典型的操作系统命令注入漏洞。问题源于report_network_map.php组件未能对用户输入的“dot”参数进行有效过滤,便直接传递给系统命令执行接口。
这两个漏洞由VulnCheck研究员Valentin Lobstein于今年2月发现。当它们与同期曝出的SQL注入漏洞(CVE-2026-28516)组合利用时,攻击者仅需发起5次HTTP请求,即可实现远程代码执行并建立反向shell,从而完全控制目标服务器。VulnCheck安全研究副总裁Caitlin Condon透露,当前观测到的攻击活动源自单一中国IP地址。攻击者使用一款定制化的AI漏洞扫描工具Vulnhuntr自动探测易受攻击系统后,会植入一个PHP网页后门shell。
