Група дослідників безпеки Depthfirst оприлюднила деталі критичної вразливості у популярному вебсервері Nginx Plus та версії Open Source. Помилка, названа Nginx Rift (CVE-2026-42945), має оцінку 9.2 за CVSS v4. Це переповнення буфера, яке виникає в модулі ngx_http_rewrite_module. Технічна суть проблеми полягає в тому, як Nginx обробляє директиви перенаправлення, коли вони поєднуються з певними регулярними виразами PCRE, що містять знак питання та неіменовані захоплення. Якщо за директивою rewrite слідують команди if або set, зловмисник може надіслати спеціально підготовлений HTTP-запит, який спричинить запис даних поза межами виділеної пам’яті сервера.

Ця вразливість залишалася непоміченою в коді протягом 18 років, що робить її однією з найстаріших «сплячих» загроз у сучасному вебі. Експлуатація Nginx Rift може призвести до віддаленого виконання коду або повної відмови в обслуговуванні. Під час технічного аналізу було встановлено, що хакери можуть використовувати цю помилку для виходу з ізольованого середовища процесу Nginx та отримання доступу до ресурсів основної системи. Хронологія розробки показує, що вразливість присутня майже у всіх версіях Nginx, випущених з 2008 року. Наслідки для глобальної мережі можуть бути колосальними, оскільки Nginx обслуговує понад 30% усіх активних вебсайтів. Розробники вже випустили патчі, і зараз триває масовий процес оновлення інфраструктури хмарних провайдерів.