Un fallo crítico de memoria en NGINX, identificado como CVE-2026-42945, vuelve a poner en evidencia que incluso proyectos de software masivamente desplegados pueden arrastrar defectos históricos con impacto actual. La vulnerabilidad es un desbordamiento de búfer en el módulo ngx_http_rewrite_module que permanece en el código desde hace casi 18 años y, según la clasificación CVSS, recibió una puntuación alta (9.2) por su potencial para provocar denegación de servicio y, en condiciones concretas, ejecución remota de código.
La investigación que sacó a la luz este fallo fue publicada por DepthFirst AI, que durante una sesión automatizada de análisis de código encontró además tres problemas de corrupción de memoria adicionales. El vector central de CVE-2026-42945 es una inconsistencia en el motor interno de scripts de NGINX: una primera pasada calcula la memoria necesaria usando longitudes de URI sin escape, y una segunda pasada escribe la versión escapada (más larga), provocando un heap buffer overflow cuando conviven directivas ‘rewrite’ y ‘set’ en configuraciones típicas de gateways de API y proxies inversos.
DepthFirst demostró un escenario de explotación que, en entornos con ASLR desactivado, permite corromper estructuras de la memoria del pool de NGINX, sobrescribir punteros de manejadores de limpieza y forzar la ejecución de system() durante el proceso de limpieza —es decir, una vía hacia ejecución remota de comandos. Sin embargo, la comunidad ha matizado ese hallazgo: investigadores como Kevin Beaumont y equipos de distribución como AlmaLinux han señalado que convertir ese desbordamiento en un exploit confiable contra sistemas con protecciones modernas habilitadas no es trivial. Aun así, todos coinciden en que el componente de denegación de servicio es fácil de reproducir y debe ser tratado como urgente.
La magnitud del riesgo no es menor si tenemos en cuenta que NGINX potencia aproximadamente un tercio de los sitios principales y se usa extensamente en proveedores de nube, plataformas SaaS, bancos, e-commerce y clústeres Kubernetes. La arquitectura multi-proceso de NGINX facilita además la explotación: los procesos worker heredan diseños de memoria casi idénticos desde el proceso maestro, lo que permite intentos repetidos de manipulación del heap incluso cuando un worker se bloquea y es reemplazado.
F5, responsable del mantenimiento del proyecto, publicó un aviso con las versiones afectadas y parches. Las correcciones están disponibles en NGINX Open Source 1.31.0 y 1.30.1, así como en parches específicos para NGINX Plus y otras distribuciones del ecosistema. Para detalles oficiales consulte el aviso de F5 y la descripción del NVD: F5 Security Advisory y NVD · CVE-2026-42945. El informe técnico de DepthFirst con la investigación se publicará como referencia detallada en su página: DepthFirst · NGINX Rift.
Además de CVE-2026-42945, los escaneos detectaron otras fallas en el mismo periodo: una asignación excesiva de memoria en módulos SCGI/UWSGI que puede provocar workers ocupando ~1 TB (CVE-2026-42946), un use-after-free en resolución OCSP asíncrona (CVE-2026-40701) y un error off-by-one en parseo UTF‑8 (CVE-2026-42934). Aunque estas últimas recibieron calificaciones medias o altas, juntas refuerzan la idea de que es necesario auditar exhaustivamente despliegues en producción.
Si administras entornos que usan NGINX, las acciones prioritarias que recomiendo son claras: actualiza a las versiones parcheadas lo antes posible tras las pruebas en preproducción; si no puedes parchear inmediatamente, aplica mitigaciones temporales propuestas por el proveedor, como reemplazar grupos de captura PCRE no nombrados ($1, $2, etc.) en reglas ‘rewrite’ por capturas nombradas, lo que elimina la principal condición de explotación señalada. Revisar las reglas de rewrite y set, limitar la superficie expuesta de endpoints que aceptan cadenas de consulta complejas y endurecer las políticas de límites de tamaño y tiempo para peticiones HTTP reduce la probabilidad de explotación.
Complementariamente, verifica que las protecciones del sistema estén activas: ASLR debe permanecer habilitado y los contenedores o imágenes de VM no deben desactivar mitigaciones por razones de rendimiento en producción. Refuerza el aislamiento de procesos, ejecuta NGINX con privilegios mínimos, mantén registros y alertas centradas en fallos de workers y reinicios frecuentes, y aplica detección de anomalías en tráfico HTTP que pueda intentarlo explotar. Para entornos Kubernetes, actualiza rápidamente los controladores de Ingress y las imágenes base utilizadas en los pods.
Por último, considera que la evidencia disponible muestra una amenaza dual: un vector de DoS reproducible y un vector RCE que requiere condiciones específicas. No subestimes el impacto operativo de los bloqueos repetidos de workers ni la posibilidad de que un atacante especializado pueda adaptar técnicas para sortear mitigaciones en ciertos entornos. Planifica el parcheo en ventanas controladas, somete los cambios a pruebas de carga y seguridad, y mantén comunicación con tus proveedores y equipos de respuesta ante incidentes para acelerar la contención si detectas actividad sospechosa relacionada con estas vulnerabilidades.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...