一、漏洞概述
2026 年,Nginx 被曝出一个潜伏长达 18 年的高危远程代码执行漏洞 CVE-2026-42945,该漏洞于 2008 年在 Nginx 0.6.27 版本中引入,影响范围覆盖 Nginx 0.6.27 至 1.30.0 的所有开源版本,同时波及 F5 公司旗下多款商业衍生产品,包括 NGINX WAF、F5 WAF、NGINX Gateway Fabric、NGINX Ingress Controller 等。
该漏洞触发条件隐蔽,当 Nginx 配置文件中同时存在带问号的 rewrite 重写规则和基于正则捕获组的 set 指令时,漏洞会被激活。其根源在于ngx_http_rewrite_module的脚本引擎(ngx_http_script.c)设计缺陷:当重写指令带问号时会设置持久的is_args标志,但后续 set 指令长度计算阶段使用了清零的子引擎,导致跳过 URL 转义逻辑;而实际复制阶段又使用主引擎触发ngx_escape_uri函数对+、&等字符进行转义,最终因缓冲区按未转义长度分配却写入膨胀后的内容,造成可控的堆缓冲区溢出,攻击者无需账号密码,仅需发送特制 HTTP 请求即可拿下服务器控制权。
二、受影响版本与安全版本对照
| 版本状态 | 具体版本 | 安全说明 |
|---|---|---|
| ❌ 高危受影响 | Nginx 0.6.27 ~ 1.30.0(含宝塔面板自带的 1.22/1.24/1.26/1.28/1.30.0) | 存在可远程利用的堆缓冲区溢出漏洞,攻击者可直接获取服务器权限 |
| ✅ 官方修复版 | Nginx 1.30.1(稳定分支)、Nginx 1.31.0(开发分支) | 已彻底修复该漏洞,为官方推荐的安全版本 |
| ✅ 衍生修复版 | Nginx-Tengine3.1、新版 OpenResty | 阿里 Tengine3.1 已同步修复漏洞,宝塔内置版本已打好补丁,无需手动编译 |
三、宝塔面板用户修复方案(按推荐优先级排序)
方案一:一键切换安全衍生版(推荐 99% 用户,零命令操作)
这是最简单、最稳妥的修复方式,无需手动编译,一键完成漏洞修复:
登录宝塔面板,进入「软件商店」→「已安装」→找到 Nginx 并点击「设置」
在弹出的窗口中选择「版本切换」
在下拉菜单中选择 **nginx-Tengine3.1**,点击右侧「切换」按钮
等待 1-3 分钟完成自动安装配置,切换完成后点击「服务」→「重启 Nginx」
优势:阿里官方已同步修复该高危漏洞,宝塔内置版本已打好补丁,与所有网站、PHP、SSL 证书完全兼容,且高并发场景性能优于原版 Nginx,切换过程不影响现有网站配置。
方案二:手动编译升级至官方修复版 Nginx 1.30.1(纯正版需求用户)
若需使用官方原版 Nginx,可通过 SSH 执行以下命令完成升级,彻底替换受影响版本:
# 1. 安装编译依赖环境 yum install -y gcc gcc-c++ make pcre pcre-devel zlib zlib-devel openssl openssl-devel # 2. 备份当前Nginx mv /www/server/nginx /www/server/nginx.bak # 3. 下载官方修复版Nginx源码 cd /tmp wget https://nginx.org/download/nginx-1.30.1.tar.gz tar zxf nginx-1.30.1.tar.gz cd nginx-1.30.1 # 4. 配置编译参数(适配宝塔默认路径与常用模块) ./configure --prefix=/www/server/nginx \ --with-http_stub_status_module \ --with-http_ssl_module \ --with-http_v2_module \ --with-http_gzip_static_module \ --with-http_sub_module \ --with-stream \ --with-stream_ssl_module # 5. 编译安装并重启服务 make && make install /etc/init.d/nginx restart
执行完成后,通过nginx -v命令检查版本,输出nginx/1.30.1即表示修复成功。
方案三:临时防护方案(无法立即升级时的应急措施)
若暂时无法完成版本升级,可通过修改 Nginx 配置文件添加临时规则,阻止漏洞被利用:
1、进入宝塔面板 Nginx 设置→「配置文件」
2、在http {块的最顶部添加以下指令:
rewrite ^(.*)$ $1 break;
3、保存配置并重启 Nginx 服务,该规则可临时禁用 rewrite 模块的未命名正则捕获,阻断漏洞利用路径,完成版本升级后可删除该规则。
四、升级前必做:配置与数据备份操作
为避免升级过程中出现意外导致业务中断,需提前完成以下备份:
1、备份 Nginx 主配置文件
宝塔面板路径:/www/server/nginx/conf/nginx.conf
操作:直接在宝塔面板文件管理器中下载该文件,或通过 SSH 执行命令备份:
cp /www/server/nginx/conf/nginx.conf /www/server/nginx/conf/nginx.conf.bak.$(date +%Y%m%d)
2、备份站点配置文件
宝塔面板站点配置路径:/www/server/panel/vhost/nginx/
操作:备份整个目录,避免站点配置丢失:
cp -r /www/server/panel/vhost/nginx/ /www/server/panel/vhost/nginx.bak.$(date +%Y%m%d)
3、备份网站数据与数据库
建议通过宝塔面板「网站」→「备份」功能,对所有站点进行全量备份,或通过面板「数据库」功能导出所有数据库。
五、升级后漏洞验证与版本确认
1. 版本号验证
通过 SSH 连接服务器,执行以下命令确认 Nginx 版本:
nginx -v
输出为 Tengine/3.1.0 或 nginx/1.30.1/nginx/1.31.0 → 修复成功 ✅
输出仍为 nginx/1.30.0 或更低版本 → 升级未生效,需检查操作步骤
2. 漏洞利用防护验证(简易自测)
执行以下命令发送特制请求,测试漏洞利用路径是否被阻断:
curl -v "http://你的服务器IP/?$(printf 'A%.0s' {1..10000})"若返回正常响应(无服务器崩溃、无异常日志),说明漏洞已被修复或临时防护生效。
六、升级后必做安全加固配置
无论选择哪种修复方案,完成升级后都需执行以下操作,进一步提升服务器安全性:
1、隐藏 Nginx 版本号
在 Nginx 配置文件http {块中添加:
server_tokens off;
作用:防止黑客通过版本扫描发起针对性攻击。
2、启用安全响应头
继续在http {块中添加以下指令,防御常见 Web 攻击:
add_header X-Content-Type-Options nosniff; add_header X-Frame-Options SAMEORIGIN; add_header X-XSS-Protection "1; mode=block";
3、重启 Nginx 服务并验证配置
执行以下命令重启服务并检查配置是否正确:
/etc/init.d/nginx restart nginx -t
输出 test is successful 表示配置无误。
七、关键注意事项与常见问题
宝塔面板自带的nginx 1.30并非安全版本:该版本为 1.30.0,仍存在高危漏洞,不可直接使用,需选择nginx-Tengine3.1或手动升级至 1.30.1。
漏洞触发条件广泛:几乎所有使用 rewrite 重写规则的网站都存在被攻击风险,务必尽快完成升级。
升级过程中请勿中断操作:手动编译升级时,若中途断开 SSH 连接,可能导致 Nginx 服务异常,建议使用screen或tmux工具后台执行编译命令。
临时防护规则仅为应急措施:rewrite ^(.*)$ $1 break;规则可能影响部分站点的重写逻辑,完成版本升级后需及时删除。
衍生版与原版的兼容性:Tengine 基于 Nginx 开发,完全兼容 Nginx 配置语法,无需修改现有站点配置即可直接切换。
八、总结
CVE-2026-42945 作为一个潜伏 18 年的高危漏洞,对所有使用受影响版本 Nginx 的服务器构成严重威胁。宝塔面板用户可优先选择一键切换nginx-Tengine3.1的方案,实现零命令快速修复;需使用原版 Nginx 的用户,可通过手动编译升级至 1.30.1 版本彻底修复漏洞。无论选择哪种方案,升级前的备份、升级后的验证与安全加固,都是保障服务器稳定与安全的关键步骤。
标签: Nginx 高危漏洞 CVE-2026-42945 深度解析 宝塔面板 修复指南
