Sebuah kerentanan kritis yang telah bersembunyi selama kurang lebih 18 tahun di dalam kode sumber web server NGINX akhirnya terungkap. Kerentanan yang dilacak sebagai CVE-2026-42945 ini memiliki skor CVSS 9.2 (Kritis) dan dapat dieksploitasi untuk melancarkan serangan Denial of Service (DoS), serta berpotensi memicu Remote Code Execution (RCE) dalam kondisi tertentu.
Bug ini ditemukan oleh sistem pemindaian otonom dari perusahaan keamanan AI, DepthFirst AI, yang juga menemukan tiga masalah korupsi memori lainnya dalam sesi pemindaian yang sama.
Akar Masalah: Heap Buffer Overflow di Modul Rewrite
Kerentanan ini terletak pada ngx_http_rewrite_module dan memengaruhi NGINX versi 0.6.27 hingga 1.30.0. Bug ini terpicu ketika konfigurasi NGINX menggunakan arahan rewrite dan set secara bersamaan—sebuah pola yang sangat umum digunakan dalam pengaturan API gateway dan reverse proxy.
- Proses Kegagalan: Mesin skrip internal NGINX memproses penulisan ulang dalam dua tahap (menghitung memori dan menyalin data). Bendera
is_argsyang tetap aktif setelah rewrite menyebabkan NGINX salah menghitung ukuran buffer, sehingga saat data yang lebih besar ditulis, terjadilah heap buffer overflow.
Debat RCE vs DoS di Dunia Nyata
Meskipun DepthFirst AI mendemonstrasikan eksekusi kode jarak jauh (RCE) tanpa autentikasi, para peneliti keamanan independen (seperti Kevin Beaumont dan tim AlmaLinux) memberikan catatan kritis:
- RCE Sulit Dicapai: Demonstrasi RCE oleh DepthFirst dilakukan pada sistem dengan perlindungan Address Space Layout Randomization (ASLR) yang dimatikan. Di lingkungan server produksi modern, ASLR aktif secara default, sehingga mengubah heap overflow ini menjadi eksploitasi RCE yang andal dinilai sangat sulit.
- DoS Sangat Nyata: Meskipun RCE sulit, mengeksploitasi celah ini untuk membuat worker process NGINX lumpuh (crash) sangatlah mudah dan dapat diandalkan. Ini menjadikan ancaman Denial of Service (DoS) sangat realistis.
Dampak pada Infrastruktur Hosting dan Mitigasi
Bagi penyedia layanan infrastruktur server tingkat enterprise—yang mencakup lingkungan VPS, Dedicated Server, hingga manajemen rak Colocation—kerentanan pada reverse proxy utama seperti NGINX ini memerlukan penanganan segera. Dalam ekosistem yang dikelola melalui panel kontrol seperti WHM, NGINX sering kali bertindak sebagai garda terdepan untuk menangani lalu lintas masuk dan penyeimbangan beban.
Langkah Perbaikan:
- Update Resmi: F5 telah merilis perbaikan pada NGINX Open Source 1.31.0 dan 1.30.1, serta versi spesifik untuk NGINX Plus dan produk turunannya. Pembaruan sistem operasi atau paket software harus segera dijadwalkan.
- Workaround Sementara: Jika pembaruan belum memungkinkan, F5 merekomendasikan untuk mengganti grup tangkapan PCRE yang tidak disebutkan namanya (
$1,$2, dll.) dalam aturanrewriteyang rentan dengan tangkapan bernama (named captures). Langkah ini menghilangkan prasyarat utama untuk eksploitasi.