📰 本频道不定期推送科技数码类新资讯，欢迎关注！ ©️ 发布的内容不代表本频道立场，和你意见不一样的话欢迎在评论区留言表达，但请注意言辞，面斥不雅。 ‼️ 关联群组定期清理不活跃成员和僵尸号，误封请联系管理员。🔗 博客: https://yummy.best 💬 群组: @GodlyGroup 📬 投稿: @GodlyNewsBot 🪧 广告合作： @yummybest_bot.https://broadcastchannel-1zj.pages.devhttps://broadcastchannel-1zj.pages.dev/posts/15622https://broadcastchannel-1zj.pages.dev/posts/15622Thu, 21 May 2026 02:10:55 GMT<a href="/posts/15496"><blockquote><small><i></i> <div> <span>Yummy <i><b>😋</b></i></span> </div> <div>NGINX出现高危漏洞，仅需发送特制HTTP请求即可拿下服务器 该漏洞编号为 CVE-2026-42945，使用 NGINX 的用户需尽快升级到 1.30.1 版或 1.31.0 版。 NGINX 在全球网站服务器和反向代理核心领域占有率将近 30%，因此这个漏洞可能会波及到海量的互联网服务。 该漏洞最初还是在 2008 年发布的 NGINX 0.6.27 版中引入的，之后漏洞长期没有被发现并潜伏到现在，该漏洞影响 NGINX 0.6.27~1.30.0 版，同时也影响 F5 公司向商业客户提供的多种…</div> </small></blockquote></a><video src="/static/https://cdn5.telesco.pe/file/ab4e687834.mp4?token=PAu-A8gtucmRBu6f54JHMoi6KhnEWIAwCEVgvT2Z_cbLBprziGn4IulYREVh6-gGY9RuN8ziIL1PZFcs58w_im4GFvxl1fPu3B9D9al6BeGYPxWfWx2-hGCVFKRlLtFx8K7tJ-czZjt1UxZIcVUR14fXSYqgAQ0lGZWRb-G6cEDxiKZt6lTyFATbSyiISBEFOzp2efgqqYKx5PX5muOJPWgQMzHMa1_S6qhFK3QSDwVH9pKr716RdAZOG5MZdKccUnsryGvoARMfVH7CfQx3K5tIxtsDEKtP_XjNV3WdRBp8nSJaQSqGnYIpPDD9-BgAaH6zGcvbAHJytkM05SO_6Q" width="100%" height="100%"></video><a href="https://x.com/i/status/2057071579876753643" target="_blank"><mark><b>Nginx</b></mark><b> 1.31.0 再爆远程代码执行漏洞“</b><mark><b>nginx</b></mark><b>-poolslip ” <br /></b></a><br />安全公司Nebula Security表示，他们的安全代理 Vega 发现了一个新的零日漏洞。<br /><br />在演示中，Python 脚本 <code>exp.py</code> 自动完成地址泄露 + 绕过 ASLR，最后拿到反向 Shell。<br /><br />该公司表示，<b>将在该漏洞修复的30天后，发布完整的 ASLR 绕过技术分析。 </b><br /> <br />一周前，<a href="https://t.me/GodlyNews1/15496" target="_blank">Nginx才修复了在2008年引入的nginx-rift漏洞，仅需发送特制HTTP请求即可拿下服务器</a>，漏洞编号为 CVE-2026-42945。<br /><br /><i><b>🗒</b></i> 标签: <a href="/search/%23Nginx">#Nginx</a><br /><i><b>📢</b></i> 频道: <a href="https://t.me/GodlyNews1" target="_blank">@GodlyNews1</a><br /><i><b>🤖</b></i> 投稿: <a href="https://t.me/GodlyNewsBot" target="_blank">@GodlyNewsBot</a>https://broadcastchannel-1zj.pages.dev/posts/15496https://broadcastchannel-1zj.pages.dev/posts/15496Thu, 14 May 2026 05:57:48 GMT<div> <img src="/static/https://cdn5.telesco.pe/file/UQPRhsiNIUsOSknb_z7taZQXPr9v0h0mM-19je4DWs9XcFWP34ymdmqFMec_flQQZg6vhr6RtG26G3Zmodl1fGDuc5JvrHpyMslPUqgEGGdR1WR4cH4QbIkvXwHagZqWzFtGNyLCpfsltY50r3bvaf3PQKx6J2deCWqHRf9Pt8SyEOwntLfy7viwtnsiQ820MKIF1yNHj3fKz8H56JTZSfKOLyzTjnLZcpTJa4_IeO_B69UCGDHazGKXdYd5HLAe1xsBO5Ort6LTj5GKxshKcB5jYEhio9YsBImfbMn7rIEfyBTWlfOtz1l8DPtUURtny2NbwZ3rRayzt5QbdXF9bw.jpg" alt="NGINX出现高危漏洞，仅需发送特制HTTP请求即可拿下服务器该漏洞编号为 CVE-2026-42945，使用 NGINX 的用户需尽快升级到 1.30.1 版或 1.31.0 版" loading="lazy" /> </div><a href="https://www.landian.news/archives/112924.html" target="_blank"><b>NGINX出现高危漏洞，仅需发送特制HTTP请求即可拿下服务器<br /></b></a><br /><blockquote>该漏洞编号为 CVE-2026-42945，使用 <a href="https://my.f5.com/manage/s/article/K000160932" target="_blank"><mark>NGINX</mark></a> 的用户需尽快升级到 1.30.1 版或 1.31.0 版。</blockquote><br /><br /><mark>NGINX</mark> 在全球网站服务器和反向代理核心领域占有率将近 30%，因此这个漏洞可能会波及到海量的互联网服务。<br /><br />该漏洞<b>最初还是在 2008 年发布的 </b><mark><b>NGINX</b></mark><b> 0.6.27 版中引入</b>的，之后漏洞长期没有被发现并潜伏到现在，该漏洞<b>影响 </b><mark><b>NGINX</b></mark><b> 0.6.27~1.30.0 版</b>，同时也影响 F5 公司向商业客户提供的多种 <mark>NGINX</mark> 衍生产品。<br /><br /><b>受影响的衍生产品包括但不限于 </b><mark><b>NGINX</b></mark><b> WAF、F5 WAF、</b><mark><b>NGINX</b></mark><b> Gateway Fabric、</b><mark><b>NGINX</b></mark><b> Ingress Controller 等。<br /></b><br />而漏洞触发条件非常隐蔽，当 <mark>NGINX</mark> 配置文件中同时出现如下两种指令时漏洞就会被激活：<br /><blockquote><code>rewrite ^/api/(.*)$ /internal?migrated=true;  # 重写规则末尾带 “?”<br />set $original_endpoint $1;                     # 使用正则捕获组</code></blockquote><br /><br /><blockquote>发现该漏洞的研究团队指出，漏洞根源在于 ngx_http_rewrite_module 的脚本引擎 (ngx_http_script.c) 中，当重写指令带问号时会设置持久的 is_args 标志，但在后续的 set 指令长度计算阶段，引擎使用的是新的清零的子引擎，这导致长度计算时跳过 URL 转义逻辑。<br /><br />而实际复制阶段又使用主引擎，触发 ngx_escape_uri 函数对 +、&amp; 等字符进行转义，缓冲区按未转义长度分配却写入膨胀后的内容，最终造成可控的堆缓冲区溢出。</blockquote><br /><br /><i><b>🗒</b></i> 标签: <a href="/search/%23NGINX">#NGINX</a> <a href="/search/%23%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E">#安全漏洞</a><br /><i><b>📢</b></i> 频道: <a href="https://t.me/GodlyNews1" target="_blank">@GodlyNews1</a><br /><i><b>🤖</b></i> 投稿: <a href="https://t.me/GodlyNewsBot" target="_blank">@GodlyNewsBot</a>https://broadcastchannel-1zj.pages.dev/posts/2570https://broadcastchannel-1zj.pages.dev/posts/2570Fri, 09 Dec 2022 05:52:38 GMT<div> <img src="/static/https://cdn5.telesco.pe/file/DOKOYLP-mLqrjtjn2UHUpgJZQ8byz44mLSm06DHTdn2k6lmiaFILgaqBU995racGhGdC1XVcd0HZXo7fkg-BUq4DYql01atvUohjQOiaPBgt6NmSt_8KNDfSkw8NTD28k-wX8TFwEsygtzvK8jOrfqm2E90V8Pho3fstU8rJfvJfqX7jnhRgHUKPuLWitntQpb7X1ZF5dRY1oLtn5xDAOqQwuDcAeAMh_iJg2mp_VYizCU0okVUzJayTg-R3CGHEa-cktaj68QOoSmxk6HAEvbHwfcLfhEFIFtnMXfd0OZufY4Iiom_JxQIsrV7lXnbrxPvf0bywBFGlGKGkTgshTQ.jpg" alt="宝塔面板发文称：未发现重大BUG宝塔公司发布 公告 称：已立即组织技术团队跟进排查，经过2天的紧急排查，暂未发现Nginx以及面板的安全漏洞，也没有大规模出现被挂马的情况" loading="lazy" /> </div><b>宝塔面板发文称：未发现重大BUG<br /><br /></b>宝塔公司发布 <a href="https://www.bt.cn/bbs/thread-105121-1-1.html" target="_blank">公告</a> 称：已立即组织技术团队跟进排查，经过2天的紧急排查，暂未发现Nginx以及面板的安全漏洞，也没有大规模出现被挂马的情况。<br /><br />此前，有消息称宝塔面板出现重大BUG导致Nginx异常并被挂载木马病毒。<br /><br /><i><b>🗒</b></i> 标签: <a href="/search/%23%E5%AE%9D%E5%A1%94">#宝塔</a> <a href="/search/%23Nginx">#Nginx</a> <a href="/search/%23Bug">#Bug</a><br /><i><b>📢</b></i> 频道: <a href="https://t.me/GodlyNews1" target="_blank">@GodlyNews1</a><br /><i><b>🤖</b></i> 投稿: <a href="https://t.me/GodlyNewsBot" target="_blank">@GodlyNewsBot</a>