رصد محاولات لاستغلال ثغرة أمنية حرجة في NGINX بعد أيام قليلة من الإفصاح عنها، وذلك وفقاً لبيانات رصد من VulnCheck. تحمل هذه الثغرة المعرف CVE-2026-42945، وتؤثر في نسختي NGINX Plus وNGINX Open Source وتحديداً داخل جزء من النظام مسؤول عن إعادة توجيه الروابط يدعى ngx_http_rewrite_module. وتتسبب هذه الثغرة في إيقاف خادم النظام عن العمل، كما يمكن في حالات وبيئات محددة أن تسمح للمخترقين بتشغيل برمجيات خبيثة عن بُعد.
وتوضح قاعدة بيانات الثغرات الوطنية الأميركية (NVD) أن هذا الخلل يحدث عندما يتم كتابة أوامر توجيه الروابط (rewrite) بشكل متتال وراء أوامر أخرى مثل rewrite أو if أو set، مع استخدام رموز معينة غير مسماة في قواعد PCRE (مثل $1 أو $2) ووجود علامة استفهام في نص الاستبدال. في هذه الحالة، يستطيع أي مخترق عبر الإنترنت إرسال طلبات ويب ملغومة تتسبب في حدوث فيضان أو تجاوز في ذاكرة النظام المؤقتة (Heap Buffer Overflow) المخصصة لخادم NGINX، مسببة انهياره وإعادة تشغيله.
وقد صنفت شركة F5، بصفتها الجهة الرسمية المسؤولة عن تسجيل هذه الثغرة، درجة خطورة هذا الخلل بـ 9.2 من أصل 10 وفقاً للمعيار الحديث CVSS 4.0، وبدرجة 8.1 وفقاً للمعيار الأقدم CVSS 3.1. ويشير الوصف الرسمي للثغرة إلى أن المخترق لن يتمكن من تشغيل برمجياته الخبيثة عن بُعد إلا في الأنظمة التي قام أصحابها بتعطيل ميزة أمان تلقائية تُدعى ASLR، وهي ميزة تحمي الذاكرة من الاستغلال. أما في الإعدادات الافتراضية للأنظمة، والتي تكون فيها ميزة الحماية ASLR مفعّلة تلقائياً، فإن الخطر الأساسي والمؤكد يقتصر على تعطيل الخدمة وإيقاف الخادم عن العمل.
لاحظت شركة VulnCheck أن المخترقين بدأوا بالفعل في تجهيز أدوات لاستغلال هذه الثغرة ضد أنظمة وهمية مخصصة لكشف الهجمات، تُعرف بمصائد الاختراق أو Honeypots. ولم تتضح حتى الآن طبيعة هذه الهجمات أو من يقف وراءها. وتزيد هذه التحركات من أهمية علاج المشكلة فوراً، خاصة وأن نظام NGINX يُستخدم بشكل أساسي كبوابة أولى لاستقبال زوار مواقع الويب وتوزيع حركتهم نحو الخوادم الخلفية.
وفي تقييم تقني نشرته AlmaLinux يوم الأربعاء 13 مايو 2026، وهي الجهة المطورة لتوزيعة نظام التشغيل الشهيرة، ذكرت أنها نجحت في محاكاة هذا الخلل وطوّرت إثبات مفهوم (PoC) ضد حزم NGINX في الإصدارات المدعومة لديها. وأكدت أن عملية إيقاف الخادم وتعطيله يمكن أن تحدث بطلب ملغوم واحد فقط على أنظمة AlmaLinux 8 و9 و10 وKitten 10. ومع ذلك، أوضحت AlmaLinux أن تحويل هذا الخلل في الذاكرة إلى طريقة للتحكم الكامل بالنظام وتشغيل البرمجيات ليس أمراً سهلاً في الإعدادات الافتراضية، لكنها شددت على أن صعوبة الاستغلال لا تعني استحالتها.
وتوضح التفاصيل الفنية أن النسخ المتأثرة بهذا الخلل من نظام NGINX Open Source تبدأ من الإصدار 0.6.27 وحتى الإصدار 1.30.0. في المقابل، فإن النسخ الآمنة والتي تم إصلاحها هي NGINX Open Source 1.30.1 و1.31.0، بالإضافة إلى النسخ المصححة التي أصدرتها شركة F5 لنظام NGINX Plus. وتنصح الجهات الأمنية بضرورة فحص ومراجعة كافة خوادم NGINX المستخدمة، سواء كانت متصلة بالإنترنت مباشرة أو تعمل داخل الشبكات الداخلية للمؤسسات.
وتتركز أولويات الاستجابة والمعالجة حالياً في تحديث الحزم المتأثرة فوراً، وإعادة تشغيل الخدمة لضمان تحميل النسخ المصححة، إلى جانب مراجعة قواعد إعادة توجيه الروابط (rewrite) التي تعتمد على رموز PCRE غير مسماة مع علامة استفهام في سلسلة الاستبدال. كما يتعين على فرق الدعم الفني والأمن السيبراني التحقق من أن ميزة الحماية ASLR تعمل بشكل صحيح، وعدم التهاون أو تأجيل التصحيح استناداً إلى اشتراط وجود إعدادات خاصة؛ فنشاط الاستغلال المرصود ميدانياً يحوّل هذه الثغرة إلى مسألة تشغيلية طارئة تستدعي التدخل العاجل.
