NGINX Rift, c’est le nom de la nouvelle vulnérabilité critique découverte dans NGINX Plus et NGINX Open Source. Cette faille présente dans le code depuis 18 ans permet à un attaquant non authentifié d’exécuter du code à distance ou de faire planter le serveur NGINX à l’aide de requêtes Web.

NGINX Rift : une faille vieille de 18 ans

Découverte par les chercheurs en cybersécurité de depthfirst, cette vulnérabilité surnommée NGINX Rift est associée à la référence CVE-2026-42945 et à un score CVSS v4 sévère de 9.2 sur 10. C’est donc une faille considérée comme critique. De type heap buffer overflow, elle affecte le module de NGINX. Elle est donc liée aux mécanismes de réécriture d’URL de NGINX.

“Nous avons utilisé le système de depthfirst pour analyser le code source de NGINX, et celui-ci a détecté de manière autonome quatre failles de corruption de mémoire à distance, dont un débordement critique de la mémoire tampon du tas apparu en 2008.”, précise le rapport.

Les chercheurs expliquent que cette faille provient d’un indicateur qui n’est pas correctement propagé lors d’une séquence de directives et , entraînant l’allocation d’un tampon de mémoire sous-dimensionné. Lors de la phase de copie, les données d’URI échappées et contrôlées par l’attaquant sont alors écrites au-delà des limites de ce tampon, provoquant un dépassement qui permet l’exécution de code à distance.

L’exécution de code à distance est permise sur les systèmes où l’ASLR est désactivée (mécanisme de protection de la mémoire). Par ailleurs, des requêtes répétées peuvent entraîner un déni de service pour l’ensemble des sites web hébergés par l’instance.

Ce qui est inquiétant, c’est qu’il n’y a pas besoin d’être authentifié, ni même de disposer d’une quelconque session. La seule condition, c’est de pouvoir atteindre un serveur Web NGINX vulnérable via HTTP afin de lui envoyer une requête spécialement conçue pour exploiter cette faille.

Un exploit PoC a été publié sur GitHub par les chercheurs de depthfirst.

Trois autres vulnérabilités corrigées en parallèle

Outre la faille NGINX Rift, divulguée de manière responsable le 18 avril 2026 par depthfirst, F5 a également corrigé trois autres failles de sécurité dans NGINX :

• CVE-2026-42946 (CVSS 8.3) : allocation mémoire excessive dans les modules et . Un attaquant distant non authentifié positionné en tant que man-in-the-middle pourrait lire la mémoire du processus de travail NGINX ou le redémarrer.
• CVE-2026-40701 (CVSS 6.3) : un défaut de type “Use-After-Free” dans le module , permettant une modification limitée des données ou un redémarrage du processus lorsque la vérification client et l’OCSP sont activés.
• CVE-2026-42934 (CVSS 6.3) : une lecture hors limites dans , pouvant conduire à la divulgation du contenu de la mémoire ou au redémarrage du processus NGINX.

Comment se protéger et patcher ses serveurs ?

Pour se prémunir contre ces multiples failles, l’application des derniers correctifs est la seule véritable ligne de défense adéquate. De très nombreuses versions sont concernées. Voici un récapitulatif correspondant à ce qui a été relayé par F5, l’éditeur de NGINX, dans le bulletin de sécurité.

Il est à noter que pour la branche très ancienne NGINX Open Source 0.6.27 – 0.9.7, aucun correctif n’est prévu. Vous devez passer sur une version supérieure, comme l’indique le tableau.

Si le déploiement immédiat du patch pour la CVE-2026-42945 n’est pas envisageable sur votre serveur pour le moment, sachez qu’une solution de contournement existe. Dans son bulletin de sécurité, F5 conseille de modifier vos règles de réécriture () en remplaçant systématiquement les captures non nommées par des captures nommées au sein de chaque directive affectée. Vous trouverez un exemple ci-dessous.