1С-Битрикс выпустил bx-nginx 1.30.2 в ответ на майское раскрытие уязвимостей веб-сервера nginx

В мае 2026 года команда nginx и компания F5 раскрыли семь уязвимостей в веб-сервере nginx - одном из самых распространённых компонентов веб-инфраструктуры в мире. 1С-Битрикс выпустил обновлённый пакет bx-nginx 1.30.2 для виртуальной машины VMBitrix. Пакет включает патчи для всех семи уязвимостей nginx, в том числе двух критических - NGINX Rift (CVE-2026-42945) и CVE-2026-9256 ("nginx-poolslip"), для первой из которых в открытом доступе уже есть рабочий эксплойт.

Кратко: если вы используете виртуальную машину VMBitrix - обновите bx-nginx до 1.30.2 в ближайшие часы. Для NGINX Rift опубликован эксплойт с обходом ASLR, попытки эксплуатации уже зафиксированы исследователями безопасности.

Недавно команда nginx и компания F5 опубликовали скоординированное раскрытие шести уязвимостей в nginx Open Source и nginx Plus и одновременно выпустили исправленные версии nginx 1.30.1 (stable) и 1.31.0 (mainline). 22 мая в рамках того же процесса была раскрыта и исправлена седьмая уязвимость (nginx 1.31.1).

Среди них - NGINX Rift (CVE-2026-42945), heap-уязвимость в модуле rewrite, обнаруженная исследовательской командой depthfirst. Уязвимость существовала в коде с 2008 года и присутствует во всех версиях nginx Open Source от 0.6.27 до 1.30.0. nginx - один из самых распространённых веб-серверов в мире, поэтому майский батч затрагивает значительную часть его инсталляций, включая сборки nginx, используемые в продуктах 1С-Битрикс. 1С-Битрикс пересобрал nginx с патчами и протестировал в составе VMBitrix, обновление bx-nginx 1.30.2 опубликовано 25 мая.

CVE

Класс

CVSS

Кем обнаружено

CVE-2026-42945(NGINX Rift)

Heap buffer overflow в ngx_http_rewrite_module; потенциальный неаутентифицированный RCE

9.2 (v4) / 8.1 (v3.1)

depthfirst / F5

CVE-2026-9256(ng