NGINX Rift, rischio RCE per una falla rimasta nascosta 18 anni

Mag 14, 2026 Giancarlo Calzetta In evidenza, News, RSS, Vulnerabilità 0

Una vulnerabilità critica rimasta nascosta per quasi due decenni sta scuotendo il mondo della sicurezza applicativa. I ricercatori di depthfirst hanno infatti identificato una falla nel modulo di rewrite di NGINX che potrebbe consentire a un attaccante remoto non autenticato di causare crash dei processi oppure, in determinate condizioni, ottenere esecuzione di codice remoto (RCE). La vulnerabilità, tracciata come CVE-2026-42945 e soprannominata “NGINX Rift”, ha ricevuto un punteggio CVSS di 9.2 ed è particolarmente significativa non solo per la gravità tecnica, ma anche perché sarebbe stata introdotta nel codice nel lontano 2008, restando invisibile per circa 18 anni.

Secondo quanto riportato dagli advisory pubblicati da F5 e dagli stessi ricercatori, il problema interessa il modulo ngx_http_rewrite_module, utilizzato comunemente per manipolare URL e richieste HTTP all’interno delle configurazioni NGINX.

Il problema nasce dalle direttive di rewrite

La falla si manifesta in configurazioni specifiche in cui vengono utilizzate direttive come rewrite, if o set insieme a capture regex non nominate, ad esempio $1 o $2, e stringhe contenenti il carattere ?. In queste circostanze, richieste HTTP opportunamente costruite possono provocare un heap buffer overflow nel processo worker di NGINX. Nella maggior parte dei casi l’effetto immediato sarebbe un denial of service, con il crash del worker e il suo successivo riavvio automatico. Tuttavia, i ricercatori hanno dimostrato che in ambienti dove la protezione ASLR (Address Space Layout Randomization) è disabilitata, è possibile arrivare anche all’esecuzione arbitraria di codice. Il team di depthfirst ha dichiarato di aver sviluppato una proof-of-concept funzionante per l’RCE e di aver condiviso il materiale con NGINX durante il processo di responsible disclosure.

Milioni di sistemi potenzialmente esposti

La rilevanza della vulnerabilità deriva anche dalla diffusione globale di NGINX, uno dei web server più utilizzati al mondo, ampiamente presente in ambienti enterprise, cloud, CDN, reverse proxy e infrastrutture Kubernetes. Secondo le informazioni diffuse dagli advisory, sarebbero vulnerabili tutte le versioni comprese tra NGINX 0.6.27 e 1.30.0. Le patch sono state introdotte nelle versioni 1.31.0 e 1.30.1.

Anche se al momento non risultano exploit attivi pubblicamente documentati, diversi osservatori ritengono probabile una rapida weaponization della falla, soprattutto considerando la semplicità con cui è possibile innescare il crash dei processi worker.

Non solo CVE-2026-42945: emergono altre vulnerabilità

L’analisi di depthfirst ha portato all’identificazione di ulteriori problemi di sicurezza all’interno dell’ecosistema NGINX. Tra questi figurano vulnerabilità di excessive memory allocation, use-after-free e out-of-bounds read che interessano moduli SCGI, uWSGI, SSL e charset. Alcune di queste falle potrebbero consentire lettura di memoria, disclosure di informazioni sensibili oppure ulteriori crash dei worker process. Sebbene abbiano punteggi inferiori rispetto a CVE-2026-42945, contribuiscono a delineare un quadro delicato per amministratori di sistema e team DevSecOps.

Il ruolo crescente dell’AI nella scoperta delle vulnerabilità

Uno degli aspetti più interessanti del caso riguarda il metodo con cui le falle sono state individuate. Depthfirst ha spiegato di aver utilizzato un sistema automatizzato basato su analisi avanzata del codice sorgente capace di individuare vulnerabilità di memory corruption all’interno di NGINX.

Il tema è particolarmente rilevante perché mostra come strumenti automatizzati e tecniche AI-assisted stiano diventando sempre più efficaci nell’individuazione di bug storici annidati in software critici. Parallelamente, questo scenario potrebbe accelerare anche la capacità offensiva degli attaccanti, riducendo drasticamente i tempi necessari per identificare superfici vulnerabili all’interno di grandi codebase legacy.

Condividi l'articolo