各二级单位:
2026年5月13日,NGINX 官方披露一批严重安全漏洞,其中 CVE-2026-42945(CVSS 9.2 临界高危)为潜伏 18 年的远程代码执行漏洞,可导致未授权远程代码执行、服务器接管、数据泄露、服务瘫痪,影响全球大量业务系统。为保障我校网络安全,现将相关风险及升级要求通知如下。
一、漏洞基本情况
漏洞编号:CVE-2026-42945
影响组件:ngx_http_rewrite_module(默认启用)
影响版本: 开源版:0.6.27~1.30.0;NGINX Plus:R32~R36
利用条件:无需认证、远程可触发、POC 已公开。
危害:远程代码执行(RCE)Worker 进程崩溃、服务不可用。
服务器被接管、数据窃取、植入后门,同批次还包含多个漏洞, 升级最新版本即可修复。
二、受影响资产排查
所有对外/对内提供Web服务的NGINX 实例均需排查,包括但不限于:网站、门户、信息系统上所有NGINX。
立即升级到官方修复版本
开源版:1.30.1 或 1.31.0;NGINX Plus:R36 P4/R32 P6
升级后重启 NGINX 并验证服务正常,暂无法升级的,立即实施临时防护注释或修改 rewrite 规则,禁用未命名正确捕获($1/$2+?)组合。
信息中心
2026年5月18日