漏洞概述

　　漏洞名称

　　NGINX ngx_http_rewrite_module 堆缓冲区溢出漏洞

　　漏洞编号

　　QVD-2026-28076，CVE-2026-9256

　　公开时间

　　2026-05-22

　　影响量级

　　万级

　　奇安信评级

　　高危

　　CVSS 3.1分数

　　8.1

　　威胁类型

　　代码执行、拒绝服务

　　利用可能性

　　高

　　POC状态

　　已公开

　　在野利用状态

　　未发现

　　EXP状态

　　未公开

　　技术细节状态

　　已公开

　　危害描述：未经身份认证的攻击者可通过发送构造的 HTTP 请求触发漏洞，造成 Worker 进程崩溃，在 ASLR 被禁用或被绕过的情况下，攻击者可能进一步实现任意代码执行。

　　01漏洞详情>>>>

　　影响组件

　　NGINX 是一款高性能、轻量级的开源 Web 服务器与反向代理服务，广泛用于静态资源托管、负载均衡、API 网关、缓存加速等场景，支持 HTTP/HTTPS、WebDAV、HTTP/3 等多种协议，具备高并发、低资源占用、模块化扩展等特性，是全球互联网主流的服务端基础软件，被政企、云厂商、互联网企业大量部署。ngx_http_rewrite_module 是 NGINX 的核心内置模块，用于基于 PCRE 正则表达式动态修改请求 URI、实现 URL 重写/重定向、条件路由及变量操作。

　　>>>>

　　漏洞描述