AI发现潜伏18年的NGINX高危漏洞：全球三分之一网站面临RCE风险

人工智能在网络安全领域取得里程碑式突破。初创公司 depthfirst 开发的 AI 安全分析系统自主发现了一个潜伏长达 18 年的 NGINX 关键漏洞 CVE-2026-42945 。 该漏洞被评定为 严重级别（CVSS 9.2） ，影响了全球近三分之一的网站，攻击者可借此实现远程代码执行（RCE）。

漏洞核心信息

潜伏时长： 自 2008 年引入以来一直未被发现，跨度达 18 年。

受影响版本： NGINX 版本从 0.6.27 到 1.30.0 。

漏洞原理： 存在于 rewrite 模块中，源于脚本引擎的两阶段处理机制缺陷，导致堆缓冲区溢出。

修复版本： 官方已发布补丁，建议升级至开源版 1.31.0 或 1.30.1 ，以及相应的商业版 NGINX Plus。

AI 安全分析的“降维打击”

此次漏洞由旧金山 AI 实验室 depthfirst 发现。该系统的表现令行业瞩目：

极高 效率： 系统在仅 6 小时的自主扫描中，便识别出包括 CVE-2026-42945 在内的 5 个安全问题 （其中 4 个已被官方确认为远程内存损坏漏洞）。

深度理解： 与传统工具不同，该 AI 能理解复杂的业务逻辑和跨模块交互，发现了此前连 顶尖 AI 安全工具都遗漏的漏洞。

数据显示，全球约有 1900 万个暴露的 NGINX 实例受到该漏洞影响。其中，美国（约 5340 万个受影响实例，含历史累计数据）和中国（约 2540 万个）是暴露程度 最高 的国家。 由于该漏洞的验证代码（PoC）已经公开，安全风险极大。建议所有使用 NGINX 的企业和开发者 立即核查配置文件 （特别是同时使用 rewrite 和 set 指令的场景），并尽快完成版本更新。

主题：漏洞