Уязвимость в NGINX 18-летней давности приводит к удаленному выполнению кода

В NGINX обнаружена критическая уязвимость CVE-2026-42945 (CVSS 9.2), затрагивающая версии с 0.6.27 по 1.30.0. Это переполнение буфера хипа в модуле ngx_http_rewrite_module, существовавшее около 18 лет. Исследователи продемонстрировали PoC-эксплоит, приводящий к RCE, но стабильная эксплуатация возможна только при отключенной защите ASLR. Патчи выпущены в NGINX 1.31.0 и 1.30.1, а также в NGINX Plus.